CloudFlare passou por uma enorme fuga de dados: os clientes devem alterar as suas palavras-chave

 

CloudFlare é um serviço legítimo que se especializa em proteger websites de vários tipos de ataques online. A proteção WAF, DDoS e SSL são como três guardiões contra muitas potenciais ameaças. Em adição a fortes medidas de segurança, o CloudFlare também tem uma característica para melhorar websites com o seu CDN global e elementos de otimização web. Contudo, até serviços bastante poderosos e fiáveis por vezes podem enfrentar situações pouco invejáveis. Desta vez, o CloudFlare foi envolvido numa grande violação de segurança. Agora, milhões de clientes leais estão a perceber que as suas credenciais e outra informação confidencial foi revelada e armazenada temporariamente por motores de pesquisa. Esta não é a primeira vez que publicidade questionável tenha sido direcionada a esta instituição: uma marca negra para eles é que o grupo brutal ISIS foram clientes da CloudFlare.

A CloudFlare admite que a fuga de informação ocorreu e explica que isto aconteceu por causa de algumas vulnerabilidades essenciais no seu software. Por esta razão, milhares de utilizadores estão agora a enfrentar grandes problemas uma vez que a sua informação confidencial pode ter estado acessível a piratas informáticos. De acordo com as autoridades do CloudFlare, a falha detetada já estava presente há bastante tempo, mas apenas após os criadores do CloudFlare terem decidido modificar o seu software é que o defeito se tornou funcional. Após as alterações terem sido concluídas, a vulnerabilidade começou a permitir a fuga de informação pessoal.

A CloudFlare também insiste que os piratas informáticos não conseguiram explorar este bug, mas é complicado distinguir se isto é realmente verdade. Mais uma vez, o Projeto Zero da Google foi o primeiro a descobrir o bug não intencionado. Ao que parece, o defeito expos informação variada sobre clientes da CloudFlare: cookies, chaves de encriptação, mensagens privadas, endereços de IP, palavras-chave e pedidos de HTTPS. Uma vez que a CloudFlare é utilizada por milhões de empresas famosas, a informação de algumas delas também foram expostas na fuga. Se tiver uma conta na Coinbase, Digital Ocean, Znedesk, OK Cupid, Namecheap, Yelp, Uber, Pastebin, Feedly, National Review, 4 Chan ou em muitas outras, aconselhamo-lo a mudar as suas palavras-chave.

A CloudFlare prevê que a fuga de informação tenha começado no Outono de 2016, significando que os utilizadores foram postos em perigo por bastante tempo. Na nossa opinião, a CloudFlare deve prestar mais atenção à sua segurança e assegurar novamente que tais acidentes não voltarão a acontecer. Estamos felizes por nenhuma atividade maliciosa ter sido detetada que tivesse mostrado sinais de tentar explorar este bug curioso. Se a informação sobre os utilizadores da CloudFlare tiver ficado comprometida, o serviço promete estar ciente disso e informar as vítimas sem atraso. É bom que as chaves SSL não pareçam ter sido alteradas, mas há uma hipótese de que uma chave privada, explorada para ligações entre mecanismos de sucesso, possa ter sido posta em perigo.

Fonte: extremetech.com.

 
 
 
 

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *