Cloudfaren #Cloudbleed vaikuttaa satoihin tuhansiin domaineihin

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Lainaus:

Between 2016-09-22 - 2017-02-18 passwords, private messages, API keys, and other sensitive data were leaked by Cloudflare to random requesters. Data was cached by search engines, and may have been collected by random adversaries over the past few months.

Ja pikainen tarkistus suomalaisella sivustolla jossa moni on vieraillut:

grep muropak sorted_unique_cf.txt
>muropaketti.com

Kannattaa vaihdella salasanoja jos ei niin ruukaa tehdä. Muropaketti yhtenä sivustoja sadoista tuhansista joista vuotanut salasanoja, priva messageita, API avaimia ynnä muuta kivaa.

List of Sites possibly affected by Cloudflare's #Cloudbleed HTTPS Traffic Leak
GitHub - pirate/sites-using-cloudflare: List of domains using Cloudflare DNS (potentially affected by the CloudBleed HTTPS traffic leak)

List of affected Cloudbleed domains
List of affected Cloudbleed domains

 

[mRkukov]

Ei voi muuta sanoa kuin huhhuh. Sitä se pilvi teettää. Toimii hienosti, mutta ongelman/vuodon sattuessa onkin sitten miljoona sivua korkattu. Huonolla tuurilla osan sivujen admin tunnaritkin saattaisi löytyä.

 

[spede]

Kannattaa vaihdella salasanoja jos ei niin ruukaa tehdä. Muropaketti yhtenä sivustoja sadoista tuhansista joista vuotanut salasanoja, priva messageita, API avaimia ynnä muuta kivaa.

Romupaketissa nyt ei ollut edes salattua kirjautumista parisen kuukautta takaperin.

 

[Juha Uotila]

Lists are being posted to Github, though it's tough to verify them at this point and some of the sites listed, might not be using the specific services affected.

Eli ilmeisesti vain tietyt Cloudfaren palvelut ovat olleet "vuodon" kohteena

 

[Primusol]

Miten tuolta murosta saa edes käyttäjätunnukset enää poistettua... äkkiseltään en löytänyt mitään nappia... ettäkö se tähän keissiin mitään enää auttaa mutta ihan vaan periaatteen vuoksi.

 

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Miten tuolta murosta saa edes käyttäjätunnukset enää poistettua... äkkiseltään en löytänyt mitään nappia... ettäkö se tähän keissiin mitään enää auttaa mutta ihan vaan periaatteen vuoksi.

Et saa mitenkään. Tekevät erittäin paljon töitä sen eteen että käyttäjät eivät saisi poistettua tunnareita tai viestejä. Jos editoit viestin tyhjäksi niin palauttelevat niitäkin yksitellen takaisin. Et saa siltä paskafoorumilta enää mitään pois vaikka haluaisit.

Ovat paniikkinappi pohjassa tehneet varotoimia, koska käyttäjiä tippuu pois ja bännivät niitä jotka mainostavat bbs.io-techiä.

 

[Elvis Jagger]

Kannattaa vaihdella salasanoja jos ei niin ruukaa tehdä. Muropaketti yhtenä sivustoja sadoista tuhansista joista vuotanut salasanoja, priva messageita, API avaimia ynnä muuta kivaa.

Hieman väärin muotoiltu...

The greatest period of impact was from February 13 and February 18 with around 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulting in memory leakage (that’s about 0.00003% of requests).

Incident report on memory leak caused by Cloudflare parser bug

Lisäksi:

This list [Githubin lista] contains all domains that use Cloudflare DNS, not just the Cloudflare proxy (the affected service that leaked data). It's a broad sweeping list that includes everything. Just because a domain is on the list does not mean the site is compromised, and sites may be compromised that do not appear on this list.

Does it use CloudFlare?

Toki foliopipo kiristi itselläkin ja vetelin muutamien listattujen sivujen salasanat uusiksi.

 

[user9999]

Tulihan noita vaihdettua…

openvpn.net
muropaketti.com (2FA)
snbforums.com (2FA)
adguard.com
plex.tv
systemastore.com

 

[greenlight]

Haavoittuvuus ei koske itse sivustoja, joten noin vain mitään tietoja ei ole vuodettu. Vuoto koskettaa sivustoille tehtyjä sivupyyntöjä. Toisin sanoen jos et ole kirjautunut (esim.) Muropakettiin tuolla aikavälillä, niin salasanasi ei ole voinut vuotaa yhtään minnekään. Muutenkin se on erittäin epätodennäköistä. Kuten tuossa yllä lukee, niin vain noin joka kolmasmiljoonas sivupyyntö on vuotanut ja niistäkin suurin osa on luultavasti täysin tavallisia sivulatauksia, joihin ei liity mitään arkaluontoista materiaalia.

 

[Elvis Jagger]

4:50 haastattelu:

 

[mRkukov]

Haavoittuvuus ei koske itse sivustoja, joten noin vain mitään tietoja ei ole vuodettu. Vuoto koskettaa sivustoille tehtyjä sivupyyntöjä. Toisin sanoen jos et ole kirjautunut (esim.) Muropakettiin tuolla aikavälillä, niin salasanasi ei ole voinut vuotaa yhtään minnekään. Muutenkin se on erittäin epätodennäköistä. Kuten tuossa yllä lukee, niin vain noin joka kolmasmiljoonas sivupyyntö on vuotanut ja niistäkin suurin osa on luultavasti täysin tavallisia sivulatauksia, joihin ei liity mitään arkaluontoista materiaalia.

Jos tarkkoja ollaan niin suurimmalle osalle riittäisi vain logout+login. Jos oikein ymmärsin niin esim. keksit on saatettu varastaa => sessionId paljastunut => jos käytössä "muista minut" niin sessio voi olla vieläkin voimissaan. On silti aika mitätön todennäköisyys ongelmiiin. Tuo "niin vain noin joka kolmasmiljoonas sivupyyntö on vuotanut" oli pahimman hetken tilanne. Suurimman osan ajasta vuoto oli tuota vähempää, eli lähes lottovoitto jos satut listalle.

 

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Ei kannata luottaa siihen että onko niitä salasanoja viety vai ei. Revokeen vaan 2FA ja uusimaan salasanat. Ei mene kauaa.

 

[Obi-Lan]

Cloudflare on ilmeisesti CDN tyyppinen palvelu vai miksi monet sitä käyttävät?

 

[leripe]

Lastpass ilmoittaa muuten security challengessa kaikista tälläisistä ja ehdottaa vaihtamaan.
"Change compromised passwords" ja sitten linkki aiheeseen.
Esim. Anonymous releases 13k passwords and credit cards numbers online 'for the lulz' ja Two Security Bulletins: SHA-1 Collision Attack and Cloudflare Incident | The LastPass Blog

 

[jive]

No Cloudbleed on ihan eri luokan ongelma kuin Heartbleed oli. Heartbleed vaaransi 80% kaikista OpenSSL kirjastoa käyttävistä palveluista. Cloudbleed liittyy pariin eksoottiseen palveluun jota Cloudflare tarjoaa. Koko huubla oli massiivinen sen takia että aluksi kuulosti siltä että koko maailma olisi ollut auki kuten Heartbleedissa, vaikka todellisuus oli ihan jotain muuta.

Jos Cloudbleedistä on huolissaan ja sen takia uusii kaikki salasanansa niin vastaavia ongelmia tulee ja on korjaamatta jatkuvasti. Sama sitten lopettaa verkon käyttö kokonaan tai siirtyä julkiverkosta johokin suojattuun verkkoon ála TOR.

Siinä muuten olisi ihan mielenkiintoinen kulma iotechille; sivusto myös pimeälle puolelle...

 

[peksi]

Cloudbleed liittyy pariin eksoottiseen palveluun jota Cloudflare tarjoaa. Koko huubla oli massiivinen sen takia että aluksi kuulosti siltä että koko maailma olisi ollut auki kuten Heartbleedissa, vaikka todellisuus oli ihan jotain muuta.

No en kyllä sanoisi "pariin eksoottiseen palveluun" kun Cloudflare on hyvin suosittu cdn ja käyttäjiä oli mm. Uber, 4chan, fitbit, yelp, medium yms. Iso ero kuitenkin Heartbleediin koska Cloudflaren bugi oli mahdollista päivittää kerralla (vaikka vanhaa dataa jäikin ympäriinsä, itse bugi on stopattu) eikä vanhoja versioita jäänyt haavoittuvaksi ja toisekseen suora hyökkäys jotain palvelua vastaan ei onnistu samalla tavalla.