*

Janne Paalijärvi Internetin ja ihmisen puolella

Cloudflare-bugi altisti monta saittia; vaihda ainakin reddit-salasanasi

  • Cloudbleediksikin kutsuttu bugi on mahdollisesti vaarantanut käyttäjätietoja maailmalla. Kuva: CC BY 2.0 Flickr.com/redglow
    Cloudbleediksikin kutsuttu bugi on mahdollisesti vaarantanut käyttäjätietoja maailmalla. Kuva: CC BY 2.0 Flickr.com/redglow

Muunmuassa välimuisti- ja kuormantasauspalveluistaan tunnettu Cloudflare on kertonut palveluistaan löytyneestä tietoturvaongelmasta. Bugi mahdollisti monen tunnetun verkkopalvelun salasanojen ja muiden tietojen vuotamisen Internettiin hakukoneiden armoille.

Cloudflaren ja hakukonepalveluiden tietoturvatiimit ovat tehneet parhaansa ongelman korjaamiseksi, mutta täyttä varmuutta bugin hyväksikäytön laajuudesta ei ole. Siksi onkin tärkeää, että Cloudflare-vetoisten webbisaittien käyttäjät vaihtavat salasanansa (ja API-avaimensa) niin pian kuin mahdollista. Alla joitakin saitteja, jotka ovat mahdollisesti vaarantuneet:

  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • reddit.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com

Päivittyvä lista on nähtävillä osoitteessa https://github.com/pirate/sites-using-cloudflare .

Janne Paalijärvi - http://paalijarvi.fi/

Facebook: https://www.facebook.com/paalijarvi

Twitter: https://twitter.com/paalijarvi

 

Piditkö tästä kirjoituksesta? Näytä se!

4Suosittele

4 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (8 kommenttia)

Käyttäjän topira kuva
Topi Rantakivi

@1. Tämä voisi selittää sen, että aina Uuden Suomen etusivulle kestää vähintään sen 10 sekuntia ja sitten tulee 522 Error hetkeksi ja sitten päästään lopulta US:n etusivulle. Virhetilanteessa lukee, että minulla se on ok, cloudflaressa ok mutta uusisuomi taas virhe.

Sama juttu kännykän kanssa.

Käyttäjän magi kuva
Marko Grönroos

Näiden tapausten pitäisi korostaa sitä, että eri palveluissa ei saa käyttää samoja salasanoja. Itsellenikin kävi taannoin köpelösti, kun olin käyttänyt Skypessä samaa salasanaa kuin Dropboxissa joitain vuosia sitten. Jokunen kymmentä miljoonaa Dropbox-salasanaa päätyi kräkkerien käsiin ja siitä sitten seurasi hyväksikäyttöjä.

Puheenvuorossa on nyt kyllä pieni käytettävyysongelma, kun en mistään löydä tapaa vaihtaa salasana. Kun menee Asetukset-sivulle, siellä kohdassa "Oma käyttäjätilini" lukee: "Muokkaa käyttäjätilisi asetuksia. Halutessasi voit myös vaihtaa salasanasi." Kun klikkaa siitä, tulee Käyttäjätili-sivulle, jossa missään ei voi vaihtaa salasanaa. Oikeasti ylläpito haloo?

Käyttäjän artojaaskelainen kuva
Arto Jääskeläinen

Voisiko syynä olla esimerkiksi se, että kirjaudut US-blogiin Facebook- tai Google-tunnuksella ?

Käyttäjän magi kuva
Marko Grönroos

Olen kirjautunut ihan perinteisellä Puheenvuoro-kirjautumisella, jossa on oma salasanansa.

Käyttäjän magi kuva
Marko Grönroos

Kas, kirjautumisessa on mahdollista pyytää uusi salasana, siis sen jälkeen kun on kirjautunut ulos. Ei voisi olla helpompaa...

Käyttäjän artojaaskelainen kuva
Arto Jääskeläinen Vastaus kommenttiin #6

Hyvä kun löytyi. :)

Itsellä oli kauan sitten erikoiselta tuntunut ongelma Facebook-jaon kanssa: Tuli eri naama kuin US-profiilissa oleva oma valokuva Facebookin jaossa. Lopulta loin tunnukseni uudestaan. Alkoi Facebook-jaot toimia oikealla valokuvalla.
Vika liittyy teknisesti ilmaistuna Facebook meta-tagiin, joka ilmeisesti puuttui tai oli jotenkin vinossa vanhalla tunnuksella US-blogissa. Debuggerilla tuon näkee tarjoileeko webbisivut oikeaa kuvaa meta-tagin avulla, samoin kurkistamalla koodia minkä julkaisujärjestelmä on generoinut.

Käyttäjän LeoLemmetty kuva
Leo Lemmetty

Hei!

Tämänhetkisen tietomme mukaan ongelma ei vaikuta Uuteen Suomeen. Seuraamme asiaa ja tiedotamme käyttäjille heti, jos aihetta tulee.

t. Leo / US Ylläpito

Käyttäjän joonas1 kuva
Joonas Vanhatapio

Githubiin koottu lista sisältää kaikki Cloudflarea käyttävät sivustot, muttei huomioi sitä että bugi/tietovuodon mahdollisuus ilmenee vain käytettäessä tiettyjä asetuksia. Varmistettuja tietovuodon sisältäviä sivustoja tähän mennessä Cloudflaren mukaan on noin 150 verkkosivua (yhteensä Cloudflarea käytää yli 4 miljoonaa verkkosivua), joista jokaiseen he ovat ottaneet yhteyttä sähköpostitse. Bugi/mahdollinen tietovuoto ilmeni Cloudflaren blogin mukaan vain jos käytössä oli ominaisuuksista "Email Obfuscation" tai "Automatic HTTPS Rewrites" / "Server Side Excludes"-käytössä.

https://vanhatapio.fi/blogi/cloudflare-tietovuoto-...

Toimituksen poiminnat

Tämän blogin suosituimmat kirjoitukset

Sivut