Nem mesmo os gigantes da internet estão imunes a falhas, e desta vez é a CloudFlare que vem assumir um embaraçoso bug que deixou em risco milhões de utilizadores de alguns dos mais populares sites na web (e também muitos outros, menos conhecidos.)
O bug foi detectado por um investigador do Project Zero da Google, e aparentemente estaria a acontecer desde Setembro do ano passado, permitindo que dados privados como passwords, cookies e tokens de autenticação fossem revelados em "plaintext".
Embora a CloudFlare refira que apenas 0.00003% dos pedidos HTML possam ter revelado informação - e que se trataria de informação aleatória, e não especificamente os dados secretos mais problemáticos - o facto da CloudFlare lidar com milhares de milhões de pedidos faz com que o risco se torne bem real e não deva ser ignorado, pelo que os utilizadores deverão agir como se os dados de acesso das suas contas tivessem sido comprometidos e actualizar passwords, tokens, etc. Considerando que a CloudFlare é utilizada por inúmeros serviços bem populares (Uber, Medium, 4chan, Patreon, Zoho, e muitos, muitos outros), a recomendação é a de que se faça uma actualização das passwords em todos os serviços que se utilizam em vez de tentar procurar quais poderão ter sido afectados por este bug.
É algo que se pode considerar uma "chatice", mas será uma chatice que podem aproveitar para passar a utilizar um gestor de passwords, ou deixarem de usar passwords repetidas para serviços diferentes (caso ainda o fizessem). Curiosamente, o 1Password utiliza os serviços da CloudFlare, mas já veio frisar que este bug não podia revelar as suas passwords, que contam com encriptação adicional.
... E na origem de tudo isto?... Mais um fantástico e ultra-simplista bug de "buffer overrun", aqueles que parecem nunca conseguir ser erradicados, ano após ano... :)
Sem comentários:
Enviar um comentário (problemas a comentar?)