Ошибка в работе Cloudflare.

Напомню, что Cloudflare  -  это сервис, который позволяет вашему сайту работать быстрее и безопаснее. Происходит это благодаря организации кеширования и фильтрации запросов, похожих на атаки. При этом все, что надо сделать, это добавить адрес сайта в сервис и изменить запись NS для вашего домена.

А теперь перейдем непосредственно к проблеме. На прошлой неделе специалистом Google Project Zero Тевисом Орманди (Tavis Ormandy) была обнаружена ошибка в работе Cloudflare. Он случайно обнаружил, что при переходе к Cloudflare сервис возвращает не только затребованные данные, но и данные других ресурсов, в том числе API ключи, токены аутентификации, пароли и прочее. Вместе с коллегами из Project Zero они попытались решить возникшую проблему. Она оказалась настолько неординарной и сложной, что Орманди решил в срочном порядке связаться с представителями компании Cloudflare.

Уже 23 февраля 2017 года эксперты Cloudflare опубликовали детальный отчет о случившемся. Как оказалось, проблему вызвал баг в коде HTML-парсера, а именно модуль, который компания использовала для чтения исходных кодов сайтов. Полученные данные передавались другим модулям, которые переписывали информацию в зависимости от настроек аккаунта пользователя. То есть, в коде использовалось >= вместо ==. Буфер переполнялся, и информация из памяти серверов Cloudflare попадала в HTTP-запросы пользователей. Но как утверждают в компании, проблема давала о себе знать только тогда, когда были активированы опции Email Obfuscation, Server-Side Excludes и Automatic HTTPS Rewrites.

Расследование началось 18 февраля 2017 года, но как оказалось, эта ошибка возникла еще 22 сентября 2016 года.

После того как Орманди  обратился к инженерам компании Cloudflare, на решение бага им понадобилось 47 минут: они в срочном порядке отключили Email Obfuscation для всех пользователей, а затем и функцию Automatic HTTPS Rewrites. Вскоре они обнаружили опечатку и связались с представителями всех  крупных поисковых систем, так как часть утекших данных осела в их кеше. Специалисти Cloudflare и Google Project Zero считают, что, несмотря на серьезность бага, им вряд ли успели воспользоваться хакеры.

Вся эта история еще раз напоминает нам о том, что нельзя забывать о безопасности хранения своих данных, особенно если это данные о криптовалюте и сбережениях. Позаботьтесь о том, чтобы надежно сохранить ваши сбережения, ваши пароли и секретную информацию.