報道によると、コンテンツ配信ネットワークのCloudflareは、何千ものWebサイトやiOSアプリ(Uber、Fitbit、Yelp、OKCupid)のコンテンツを含むユーザーデータの数か月にわたる深刻な侵害に見舞われたという。
この事件があったと考えられているのは、9月下旬から始まりましたピークは2月13日から18日の間でした。アルステクニカ言った。クラウドフレア説明したエッジ サーバーの不具合によりバッファ オーバーランが発生し、検索エンジンによってキャッシュされていたパスワード、Cookie、認証トークンなどのプライベート データが吐き出されてしまったということです。
Cloudflareは、秘密SSLキーは漏洩していないと述べ、当事者がこの状況を悪用した証拠は見つかっていないと付け加えた。修正が実装されるまでの間、電子メールの難読化、サーバー側の除外、自動 HTTPS 書き換えを一時的に無効にすることで、漏洩を阻止しました。
Google や Bing などの検索エンジンは、侵害が公になる前にキャッシュ データの消去を開始したと伝えられていますが、アルス一部の機密データが依然として野放しになっている可能性があることに注意してください。
Googleの研究者であるTavis Ormandy氏は、先週の金曜日にこの問題をCloudflareに指摘した。しかし、後者のブログ投稿に応えて、オーマンディは、提案された「顧客に対するリスクを大幅に軽視している」と述べた。あGitHubページは影響を受ける可能性のあるサイトのリストを提供しているが、その作成者は、漏洩に関与したCloudflareプロキシだけでなく、Cloudflare DNSを使用するすべてのドメインが含まれると指摘している。
影響を受けていることを認めたサービスの 1 つ — 1Password —と主張したこのケースでは、転送中のデータが暗号化されているため、機密データが漏洩することはありませんでした。
モバイルアプリセキュリティ会社 NowSecure によると、少なくとも200のiOSアプリいくつかの大きな例としては、ABC News、Breitbart、CNN、Dropbox、Microsoft Outlook などが影響を受ける可能性があります。この数字はさらに 3,500 の人気タイトルのサンプルから得られたものであるため、実際の集計はさらに高くなる可能性があります。
影響を受けるアプリや Web サイトを使用しているユーザーは、パスワードを変更し、関連するアクティビティを監視することをお勧めします。
この問題は、「Cloudbleed」というあだ名で呼ばれることもあります。ハートブリードの脆弱性2014 年に OpenSSL の一部のバージョンで発見されました。