Из-за уязвимости сервис Cloudflare месяцами сливал данные клиентов

Компания Cloudflare, которая занимается доставкой контента и безопасностью сайтов, 23 февраля объявила о крупнейшей дыре в безопасности за все время существования сайтов. Оказалось, что незаметно для всех система автоматически отдавала в сеть данные с хранилищ своих клиентов. Причем, это могли быть даже пароли конфиденциальная информацию. Проблему случайным образом обнаружил сотрудник компании Google. О случившемсярассказалоиздание TechCrunch.

Компания Cloudflare представляет собой посредника между пользователем и сайтом с контентом. Зачем к нему обращаются?Это и защита от DDoS-атак, защита и хранение данных, ускорение загрузки страниц и т.д. Система весьма выгодна для небольших сайтов, но ею часто пользуются и гиганты уровня Uber. Сама идея Cloudflare появилась в 2009 году, а активно развиваться сервис начал пять лет назад. С того времени число сайтов, с которыми работает сервис, выросло до 5 млн.

Утечку данных обнаружил сотрудник Google Тэвис Орманди. Как он сам утверждает, сделать это получилось случайно. Работая над собственным проектом Орманди обратился к одному из сайтов, который работал черезCloudflare. По понятным причинам кроме запрашиваемой информацию ему выдавались и данные с других сайтов. В ходе нескольких тестов удалось заполучить данные крупных компаний, среди которых был и Uber.

Причиной слива данных стало желание Cloudflare подключить сервисAMP Accelerated Mobile Pages. Это разработка Google, которая позволяет существенно улучшить скорость загрузки страниц в сети, что-то похожее на Instant Article от Facebook. Во время подключения произошел сбой: некоторые страницы создавались с ошибками. Это происходило из-за того, что три функции Cloudflare не были оптимизированы под новую технологию. Как результат, часть данных с таких страниц отправлялась с серверов компании в поисковые системы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *