02 Aprile 2019
Nel corso delle scorse ore Cloudflare, una società che si frappone tra i siti e gli utenti finali in qualità di proxy per proteggere i siti stessi da attacchi di vario tipo, ha rivelato un bug piuttosto serio nei suoi software che ha esposto in forma non criptata, come semplice testo, alcuni dati sensibili degli utenti dei siti (circa cinque milioni) che protegge. La falla, soprannominata Cloudbleed, è stata scoperta pochi giorni fa da un ricercatore di sicurezza di Google Project Zero, ma stando alle prime analisi sarebbe attiva da diversi mesi - precisamente dal 22 settembre 2016.
In questo periodo, chiunque avesse saputo che cosa cercare (e naturalmente questo dettaglio è cruciale per valutare la gravità dell'attacco) avrebbe potuto semplicemente leggere una varietà di informazioni personali degli utenti dei siti protetti da Cloudflare. La falla è stata sistemata nel giro di poche ore, ma sono serviti alcuni giorni in più per cancellarne definitivamente le tracce dalle cache di ogni motore di ricerca - Bing, Google, Yahoo e così via.
Il periodo di maggior incidenza del bug è stato negli scorsi giorni - per la precisione dal 13 al 18 febbraio. Anche in questi giorni di picco, solo lo 0,00003 per cento delle richieste avrebbe potuto esporre i dati. Può sembrare una cifra quasi insignificante, ma teniamo conto che Cloudflare gestisce intorno ai cinque milioni di siti Web; alcuni di questi sono siti/app di incontri, gestori di password e molto altro ancora. La dichiarazione del ricercatore di Google, bisogna ammettere, fa un po' impressione:
Non mi ero mai reso conto di quanta Internet fosse protetta da un CDN di Cloudflare fino a questo incidente. Trovo messaggi privati da grossi siti di incontri, messaggi interi da un servizio di chat molto diffuso, dati di gestori di password online, fotogrammi di video hot, prenotazioni di hotel. Stiamo parlando di richieste HTTPS complete, risposte integrali, cookie, password, dati, ogni cosa.
Tanto per chiarezza, come da prassi, la storia è diventata pubblica dopo che il problema è stato corretto. Come sempre, capire con precisione la gravità e il rischio per noi utenti è molto difficile e dipende da che campana si decide di ascoltare. La posizione di chi ha scoperto il bug, come abbiamo visto sopra, è piuttosto chiara; per contro, Cloudflare dubita che le informazioni siano finite nelle mani sbagliate, perché non ci sono stati indizi di attività anomale sulla rete.
I siti che si avvalgono dei servizi di Cloudflare stanno reagendo ognuno a suo modo. Uber, per esempio, ha dichiarato che pochissimi dati passano attraverso Cloudflare, e ha escluso che siano state esposte delle password. Il sito di incontri OKCupid mantiene una posizione analoga, ma non si dichiara ancora del tutto certo che non siano rimasti esposti i dati sensibili di qualche utente. Discord, la chat studiata apposta per i gamer, ha invece consigliato ai suoi utenti di cambiare password.
A QUESTO indirizzo è presente un elenco di tutti i siti che usano Cloudflare, ma è poco pratico per due motivi: primo, è enorme; secondo, include anche i siti che sfruttano i DNS dell'azienda. Il problema invece riguarda solo quelli che usano Cloudflare come proxy. Precisiamo anche che il problema con gli account Google di questa notte non è per nulla correlato con il bug di Cloudflare.
In conclusione, che fare? Mettiamola così: ci sono ottime chance che non succeda niente, ma un cambio delle password (almeno dei siti che usano Cloudflare) sarebbe la soluzione migliore. È un lavoraccio, ma almeno per gli account a cui tenete di più/in cui ci sono più dati personali è meglio procedere.
Per approfondire:
- Il post di Cloudflare che annuncia la scoperta del bug e ne illustra nel dettaglio il funzionamento
- La cronaca della vicenda realizzata dal ricercatore di Project Zero che l'ha scoperta
- L'elenco di tutti i siti che si avvalgono dei servizi di Cloudflare (come abbiamo detto sopra, include anche molti siti che non c'entrano niente)
Commenti
concordo,colpa mia o del router o del sistema che uso ecc,alla fine solo la morte e le tasse sono sicure
Beh non che tu sia in una botte di ferro col cloud privato... anzi dubito tu riesca a garantirti un livello di sicurezza come quello dei servizi cloud... diciamo che se ti rubano qualche dato dal cloud privato, la colpa è solo tua e non puoi darla ad un servizio di terze parti
Secondo me fai prima a usare google e leggere qualcosa sul nas e cloudflare
Sei tu che stai rispondendo a un articolo che ha un contenuto ben specifico, proponenzo soluzioni inappropriate. Quindi no, non è un "problema mio", il problema è tuo che non hai letto il contenuto e hai fatto una sparata fuori luogo e ora cerchi retroattivamente di far sembrare che stavi parlando di altro.
Comunque dai, facciamo finta che il tuo fosse un commento OT puramente casuale sul vantaggio di nas e cloud privato, che per mera coincidenza hai inserito in un articolo che riguarda cloudflare, e chiudiamola qui, che non è il caso di stare a quesitonare per un commento su un bl0g.
Peace, out.
No affato,ho detto e ora di farsi un nas,poi se fu hai capito che mi riferivo al cloudflare come un servizio cloud e un probl problema tuo
Tu.
I tuoi commenti che propongono come "soluzione" l'uso di NAS e cloud privato danno a intendere che ti è sfuggito il senso della notizia.
Non ce l'ho con te eh, non volevo attaccare briga (mi scuso se così fosse sembrato) ma i commenti con cui te ne sei uscito parlano chiaro per quel che mi riguarda.
si.. ma nulla di serio!
cit.
ahahhahaha
e chi ha detto il contrario
LOL, CloudFlare non è un servizio di cloud storage :D
E' un sistema che si interpone tra un sito e gli utenti per fare protezione anti ddos, caching e altri servizi del genere.
Usa crittografia a tre livelli, quella del trasporto (quella in oggetto) è di fatto irrilevante
Più che altro 1password
E' la protezione anti DDOS
in pratica prima di farti accedere alle risorse del sito verificano se sei umano
ummm è vero il discorso della NAS privata ma se hai un IP dinamico, come il 90% degli utenti consumer, devi comunque usare un reverse DNS e quindi alla fine c'è sempre qualcuno in mezzo attaccabile
sinceramente non mi ha mai ispirato molto, oltretutto mi pare che abbia avuto anche dei down, con conseguente down del sito associato al dominio
altre soluzione tipo incapsula ti permettono di mantenere i propri name server e cambiare solo il puntamento nei DNS
Certi siti durante il caricamento mostrano pop-up protetto con cloudfire forse per fare pubblicità
1 su 235 dei miei
non potevamo fare l'en plein :(
99% degli utenti e pigro e non sa neanche di cosa sia crittografia end to end,se no così pigri che è anche https usano
che p*rla
Ma proprio Discord, ora che ho iniziato ad usarlo ahah? Sti maledetti
Cloudflare è un sistema 'invisibile' (per noi utenti) usato dai siti per bilanciare il carico, proteggersi dagli acari, cambiare al volo gli IP dei server e permettere agli spioni di monitorare il traffico anche quando è crittografato nel transport layer.
Insomma una cosa utile ;)
Ma c'entra poco col cloud.
Detto ciò certo che è ora di comprare il NAS. Oppure di usare sempre ,sempre, sempre la crittografia end2end. Quella né un bug di cloudflare né gli acari cattivi-cattivi la rompono se la si usa correttamente
Devo cambiare la password di crackberry.
E di tomshw....ah no, già cestinato anni fa...
ddns? AHHaHHahA Attacchi ddos magari..
Si c'è sempre un pop-up in diversi siti
cloudflare non è un cloud, viene utilizzato soprattutto come servizio per evitare ddns
... insomma: una cosetta da nulla...
[ironic mode ON]
Visto gli attacchi sempre più frequenti meglio un cloud privato in più non fa male
Come mai?
E ora di comprare un nas