Az utóbbi évek legnagyobb internetes biztonsági katasztrófája fenyegethet, miután kiderült, hogy a világ egyik legnagyobb webes biztonsági cégének apró programozási hibája miatt óriási mennyiségű bizalmas adat – jelszavak, személyes információk, üzenetek – szivárgott ki az internetre.
A biztonsági hiba következményei baljósnak ígérkeznek, a legnagyobb és legnépszerűbb techportálok fegyverben vannak, és vezető híreik között tálalják azt a fenyegetést, amelyet a Gizmodo „ijesztően komoly ügynek” nevezett, a CNET pedig „igencsak súlyosnak”.
A Cloudflare cég nevével az egyszeri felhasználók közül eddig kevesen találkoztak, és ennek az az oka, hogy a Cloudflare egyike azoknak a vállalkozásoknak, amelyek nem közvetlenül kerülnek kapcsolatba az interneten böngészgetőkkel, hanem úgy, hogy szolgáltatásaikat nagyon sok internetes szájt használja. A Cloudflare biztonsági megoldásait sok millió weblap alkalmazza, egyebek mellett a szájtokat érő támadások kivédésére, a weboldalak gyorsítására vagy a felhasználói élmény javítására.
Az a tény, hogy a Cloudflare biztonsági cég, az új biztonsági sérülékenység körüli felhajtásnak igencsak kölcsönöz némi iróniát. Hiszen végül is számtalan vállalkozás fizet a Cloudflare-nek azért, hogy segítsen adatainak biztonságát megőrizni. A Cloudbleed-fiaskó ennek épp ellenkezőjét okozta
– összegzi a problémát a Gizmodo népszerű internetes techblog alapos ismertetője.
Az említett hibát először a Google internetes sérülékenységeket vizsgáló kutatója, Tavis Ormandy tárta fel február 17-én, de, ahogy azt a Wired technomagazin internetes portálja is megjegyzi, a hiba miatt tavaly szeptember 22. óta szivároghatnak adatok a Cloudflare szolgáltatását használó szájtokról. (Ormandy az előző nagy internetes biztonsági rémálom, a Heartbleed nyomán Cloudbleednek nevezte el az új bugot, ami a cég nevében is megtalálható „felhő” és a „vérzés”-t, „szivárgás”-t jelentő „bleed” szóból áll össze.)
A Cloudflare február 23-án adott hírt az adatszivárgásról (ahogy Ormandy is), miután – a cég állítása szerint – a hibát már sikerült orvosolni. (A nagy technikai hírportálok komolyabb cikkei február 24-én jelentek meg az ügyben.)
A Wired leírása szerint ez azt jelenti, hogy bizonyos esetekben a Cloudflare platformja hatmillió vásárlójának – köztük van az Uber és a világ egyik legnagyobb randiszájtja, az OKCupid, valamint a felhasználóinak edzésadatait szerverein tároló, okosóragyártó FitBit is – adataiból véletlenszerűen beillesztett ezt-azt más üzletfeleinek webszájtjaira. „A gyakorlatban ez azt jelenti például, hogy az ön által igénybe vett Uber-fuvar adatai vagy még Uber-jelszava is egy másik internetes szájt (nyilvánosan elérhető, de a felhasználók számára többnyire rejtve maradó) adatai között végezhette” – írja a Wired.
Az esetek többségében ezek az adatok nem jelentek meg nagy forgalmú szájtokon, ám a nagy keresőmotorok indexelhették vagy cache-elhették ezeket a tartalmakat, azaz például a Google keresőtalálatai között is előbukkanhatnak.
Ijesztően hangzik, de a Cloudflare ügyfelei között van az amerikai elektronikus tőzsde, a Nasdaq is.
A CNET portál ugyanakkor sietett leszögezni, hogy míg a Heartbleed bug félmillió webszájtot érinthetett, a Cloudbleed következményei eddig nem tűnnek ennyire súlyosnak: 3400 webszájt lehet azon a listán, ahol adatszivárgás fordult elő. Gond azonban, hogy ez a szám csak azokat a weblapokat tartalmazza, ahol a többi Cloudflare-ügyfél adatai megjelenhettek, tehát valójában az érintett szájtok – amelyek adatairól szó van – száma ennél sokkal nagyobb.
Az egyelőre nem világos, hogy a rosszindulatú hackerek kihasználták-e a súlyos biztonsági rést, mindenesetre a szakértők azt sürgetik, hogy mindenki kezdje el szépen megváltoztatni jelszavait, mert egyelőre megjósolhatatlan, mekkora problémába ütközött bele Tavis Ormandy. Tehát azt minden technológiai hírportál és szakértő is hangsúlyozza: nem lehet megmondani, hogy az adatok lenyúlása valóban megtörtént-e. A lehetőség erre azonban bizonyos esetekben nyitva állt.
Csak az idő dönti majd el, hogy mik lesznek a Cloudbleed valós következményei, és ezek remélhetően nem lesznek túl súlyosak. De máris túl késő megállítani, szóval inkább tegyük meg azokat a lépéseket, amelyeket csak tudunk
– írja a Popular Mechanics tudományos magazin hírportáljának magyarázó cikke.
Ryan Lackey biztonsági szakértő, aki korábban a Cloudflare által felvásárolt CryptoSeal alkalmazásában állt, tehát elég pontosan fel tudja mérni a Cloudbleed okozta kockázatokat, blogposztjában azt írja: A Cloudflare ott van a legnagyobb fogyasztói webszolgáltatások mögött (Uber, Fitbit, OKCupid...), így ahelyett, hogy megpróbálnánk azonosítani, milyen szolgáltatások használják a Cloudflare-t, valószínűleg a legkörültekintőbb, ha ezt az alkalmat arra használjuk fel, hogy minden általunk használt webszájton MINDEN jelszavunkat megváltoztatjuk.
A Cloudflare javára legyen mondva, azonnal lépett az ügyben, és válságstábot állított fel, amely igen hamar orvosolta a problémát. Vagyis az adatszivárgás azóta megszűnt. A cég nyilvános blogposztjában dicséretesen nyíltan ír a probléma lényegéről, valamint azt is állítja, hogy a Google által esetleg cache-elt adatokat a keresőóriással alakított közös munkacsoport azóta törölte. A cég szerint a legnagyobb biztonsági kockázat mindössze pár napig, február 13. és 18. között állt fenn.
A biztonsági megoldások mellett amúgy a Cloudflare speciális webhosting szolgáltatást is nyújt, amely például a valódi szolgáltató elrejtését is lehetővé teszi felhasználói számára. A magyar sajtóban korábban a kuruc.info kapcsán került elő leginkább a cég neve, amikor is az Átlátszó.hu portál így fogalmazta meg a cég efféle szolgáltatásainak lényegét:
Hasonló filozófiával működik a magyar rendőrség által tévesen a kuruc.info weboldalt üzemeltető cégként azonosított Cloudflare is, amely valójában nem webhosting szolgáltató, hanem a valódi hosting szolgáltató elrejtésére, a hackertámadások elleni védelemre és a webforgalom gyorsítására szakosodott speciális online szolgáltató. A Cloudflare mögött hostolt szerverekről nem elérhető nyilvános információ, azt sem lehet megmondani, hogy valójában melyik országban működik a kuruc.infót fizikailag kiszolgáló masina.
