2017/02/24

CloudFlare revela bug que deixou utilizadores vulneráveis


Nem mesmo os gigantes da internet estão imunes a falhas, e desta vez é a CloudFlare que vem assumir um embaraçoso bug que deixou em risco milhões de utilizadores de alguns dos mais populares sites na web (e também muitos outros, menos conhecidos.)

O bug foi detectado por um investigador do Project Zero da Google, e aparentemente estaria a acontecer desde Setembro do ano passado, permitindo que dados privados como passwords, cookies e tokens de autenticação fossem revelados em "plaintext".

Embora a CloudFlare refira que apenas 0.00003% dos pedidos HTML possam ter revelado informação - e que se trataria de informação aleatória, e não especificamente os dados secretos mais problemáticos - o facto da CloudFlare lidar com milhares de milhões de pedidos faz com que o risco se torne bem real e não deva ser ignorado, pelo que os utilizadores deverão agir como se os dados de acesso das suas contas tivessem sido comprometidos e actualizar passwords, tokens, etc. Considerando que a CloudFlare é utilizada por inúmeros serviços bem populares (Uber, Medium, 4chan, Patreon, Zoho, e muitos, muitos outros), a recomendação é a de que se faça uma actualização das passwords em todos os serviços que se utilizam em vez de tentar procurar quais poderão ter sido afectados por este bug.

É algo que se pode considerar uma "chatice", mas será uma chatice que podem aproveitar para passar a utilizar um gestor de passwords, ou deixarem de usar passwords repetidas para serviços diferentes (caso ainda o fizessem). Curiosamente, o 1Password utiliza os serviços da CloudFlare, mas já veio frisar que este bug não podia revelar as suas passwords, que contam com encriptação adicional.

... E na origem de tudo isto?... Mais um fantástico e ultra-simplista bug de "buffer overrun", aqueles que parecem nunca conseguir ser erradicados, ano após ano... :)

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]