В CloudFlare произошла крупная утечка данных с сайтов-клиентов, названная CloudBleed

В всемирно известной компании CloudFlare, предоставляющей различные сервисы по обслуживанию и обеспечению безопасности сайтов, произошла утечка персональных данных, в том числе куки, ключей API и паролей. Компания сообщила об этом вчера в своём блоге. Пока что не было замечено случаев намеренного использования этих данных, но стоит учитывать, что их часть могла быть закеширована поисковыми системами. 

Что произошло?

Проблема была обнаружена 18 февраля сотрудником Google Project Zero Тависом Орманди, но появиться она могла ещё 22 сентября 2016 года. CloudFlare сообщила, что объём утёкших данных начал расти с 13 февраля, когда изменение в коде привело к тому, что каждый 3 300 300-ый HTTP-запрос становился общедоступным — а это серьёзно для сети такого масштаба.

Could someone from cloudflare security urgently contact me.— Tavis Ormandy (@taviso) February 18, 2017

Орманди сообщил, что он нашёл записи о бронировании отелей, пароли из менеджеров паролей, сообщения с сайтов знакомств. “Я даже не догадывался, насколько большая часть Интернета находится в Cloudflare CDN, — написал он 19 февраля. — Мы говорим о полных HTTP-запросах, IP-адресах клиентов, куки, паролях, ключах, данных, обо всём.” После того, как представители CloudFlare увидели сообщение Орманди, они отключили три фичи, использовавшие уязвимый код, и связались с поисковыми системами для удаления закешированной информации.

И в чём заключалась утечка?

Утечка (неофициально названная Cloudbleed в честь эксплойта Heartbleed) была результатом “переполнения буфера”, ошибки в коде, созданном HTML-парсером Ragel, ранее использовавшемся в компании. CloudFlare сообщила, что этот баг присутствовал в системе несколько лет, но был обнаружен только после перехода на другой парсер, cf-html, что “изменило процесс буферизации” и привело к утечке.

Компания объясняет такую задержку в объявлении об утечке желанием “убедиться, что все поисковые движки будут очищены перед публичным заявлением”. Стоит заметить, что CloudFlare смогла обнаружить все три источника утечек всего за 7 часов после сообщения от Орманди, и это действительно быстро — вспомним недавнюю историю с Microsoft, которая не исправила уязвимость за 90 дней, в результате чего Google пришлось публично сообщить о ней. Тем не менее, на всякий случай стоит сменить все пароли, учитывая, сколько информации на самом деле хранится в CloudFlare.

В процессе написания новости мы обнаружили, что энтузиаст написал расширение для Chrome, которое проверяет, присутствуют ли сайты из ваших закладок в «списке Cloudbleed». Его исходный код также доступен на GitHub.