Một lỗ hổng nhỏ trong mã nguồn của Cloudflare đã dẫn đến một lạng dữ liệu chưa thống kê được – gồm mật khẩu, thông báo cá nhân, tin nhắn, cookie... &Ndash; đã trở nên rò rỉ trên Internet. Nếu khách hàng chưa chắc chắn về lỗ hổng Cloudbleed thì nên cần đọc tiếp bài viết này. Đây là một mối đe doạ an ninh mạng lớn xẩy ra vừa mới đây nhất.
Theo Gizmodo, Cloudflare là một trong Doanh Nghiệp bảo mật an ninh mạng lớn nhất trái đất. Tin tốt là hãng đã hành vi rất chóng vánh khi nhà nghiên cứu và phân tích bảo mật Tavis Ormandy của dự án công trình Project Zero của Google bắt gặp ra lỗ hổng gọi bằng Cloudbleed.
Tin xấu là các trang web được Cloudflare bổ trợ đã biết thành rò rỉ tài liệu nhiều tháng trời trước lúc ông Ormandy bắt gặp ra lỗ hổng. Cloudflare cho thấy những ngày tài liệu rò rỉ thứ nhất là từ vào thời điểm tháng Chín năm kia. Cho tới lúc này không rõ liệu các Hacker mũ đen đã phát hiện và bí ẩn khai quật lỗ hổng này trước lúc Cloudflare xử lý xong code lỗi chưa. Các khách hàng lớn của Cloudflare gồm có Uber, OKCupid, 1Password (1Password đã cam kết ràng buộc tài liệu người tiêu dùng của họ an toàn) và FitBit. Điều này có nghĩa có quá nhiều dữ liệu nhạy cảm có công dụng đã biết thành xâm nhập.
Như bất kể lỗ hổng bảo mật thông tin lớn nào, sẽ rất cần phải mất một thời gian trước khi chúng ta cũng có thể hiểu rất đầy đủ về mức độ thiệt hại do Cloudbleed tạo ra. Bây Giờ, để đảm bảo, bạn nên biến hóa mật khẩu của chính mình – tất cả mật khẩu – và vận dụng xác nhận hai bước ở bất cứ đâu hoàn toàn có thể. Bạn sẽ biết Tại Sao đấy là cách bảo vệ tốt nhất khi đọc tiếp lỗ hổng bảo mật thông tin này tồi tệ như thế nào.
>>> Xem thêm: bán dell t440
Cloudflare là gì?
bạn cũng có thể không biết đến Cloudflare nhưng công nghệ của hãng sản xuất đang được dùng ở rất nhiều website phổ cập. Cloudflare diễn tả bản thân là 1 trong những "công ty bảo mật & năng suất web". Khởi điểm từ là 1 ứng dụng theo dõi nguồn phát tán spam, hãng hiện nay cung cấp tất cả menu dòng sản phẩm cho các website, gồm có các Thương Mại Dịch Vụ dựa vào công dụng như Dịch vụ phân phối nội dung, Thương Mại & Dịch Vụ cung cấp tên miền, Dịch vụ an ninh mạng như đảm bảo trang web chống các cuộc tiến công từ chối Thương Mại Dịch Vụ DDoS.
thực chất là Cloudflare là một trong Công Ty bảo mật và điều đó làm cho sự bắt gặp mã nguồn của hãng sản xuất có lỗ hổng có thể trở nên vô cùng điêu đứng. Xét cho cùng, có không ít Doanh Nghiệp đang trả tiền cho Cloudflare để khiến cho tài liệu của mình an toàn và đáng tin cậy. Trong khi đó, "dính" phải lỗ hổng Cloudbleed, Cloudflare lại làm trái lại.
"Tôi đã thông báo cho Cloudflare những gì tôi phát hiện. Tôi tìm thấy nhiều tin nhắn riêng tư từ nhiều trang gặp gỡ và hẹn hò trực tuyến lớn, toàn bộ tin nhắn từ một Dịch vụ chat khét tiếng, tài liệu cai quản mật khẩu online...", ông Tavis Ormandy cho thấy. "Chúng tôi đang nói tới tất cả những địa chỉ IP của quý khách hàng, toàn bộ bình luận, cookie, mật khẩu, dữ liệu, mọi thứ". Ông cũng cho biết lỗ hổng Cloudbleed đã rò rĩ tài liệu của 3.438 tên miền trong tiến độ 5 ngày vào thời điểm tháng Hai này.
>>> Xem thêm: Dell T640
Cloudbleed hoạt động như vậy nào?
với người am hiểu công nghệ tiên tiến, Cloudbleed là đặc biệt quan trọng hấp dẫn chính vì một ký tự độc tôn trong code của Cloudflare là Nguyên Nhân dẫn đến lỗ hổng này. Có vẻ như đó là 1 trong những lỗi coding đơn giản dễ dàng, nhưng dựa vào những gì đã được cung cấp tin trước đây, có lẽ Cloudbleed hoạt động hơi y hệt như lỗ hổng Heartbleed xét về phong thái nó rò rỉ thông tin trong quãng một trong những tiến trình nhất định. Mô hình ảnh hưởng tác động đến người tiêu dùng của Cloudbleed tương tự như Heartbleed, vì nó tác động ảnh hưởng đến một Dịch Vụ Thương Mại bảo mật bình thường được rất nhiều trang web sử dụng.
Theo một bài đăng trên blog của Cloudflare, điều này bắt nguồn từ quyết định của hãng sử dụng một cú pháp HTML mới, gọi bằng cf-html. Một cú pháp HTML là 1 trong những ứng dụng quét mã nguồn để lọc ra những thông tin tương quan như tag mở màn và tag kết thúc. Điều ấy giúp cho việc kiểm soát và điều chỉnh mã nguồn đó đơn giản dễ dàng hơn.
Cloudflare lâm vào cảnh rắc rối khi định dạng (formatting) mã nguồn cf-html & cú pháp cũ Ragel để chạy với ứng dụng của mình. Mỗi lỗi trong code đã tạo ra thứ gì đó gọi là lỗ hổng tràn bộ đệm (lỗi liên quan đến đoạn "= =" trong code mà lẽ ra nó phải là "> ="). Điều này có nghĩa là khi phần mềm đang viết tài liệu cho 1 bộ đệm - một lượng khoảng không tàng trữ số lượng giới hạn cho dữ liệu tạm thời - nó sẽ điền đầy bộ nhớ lưu trữ đệm & tiếp đến liên tiếp viết code ở nơi khác.
Nói một cách đơn giản và dễ dàng hơn, ứng dụng của Cloudflare cố lưu tài liệu người tiêu dùng ở đúng chỗ nhưng chỗ này lại đầy quá nên phần mềm của Cloudflare sau cuối cất tài liệu đó ở chỗ khác, như trên một trang web trọn vẹn khác. Thêm nữa, dữ liệu đó bao gồm mọi thứ, từ mã API cho tới tin nhắn riêng tư. Những dữ liệu này cũng khá được các trang web khác & Google khắc ghi, có nghĩa là hiện giờ Cloudflare phải săn tất cả dữ liệu này trước lúc các tin tặc phát hiện ra.
Bạn có bị ảnh hưởng?
Vẫn chưa rõ chính xác đối tượng người sử dụng nào bị tác động bởi lỗ hổng Cloudbleed. Cloudlfare tuyên bố chỉ 1 lạng rất nhỏ nhu yếu dẫn đến dữ liệu bị rò rỉ nhưng do lỗ hổng đã có từ gần 6 tháng rồi nên ai dám chắc có bao nhiêu thông báo đã bị rò rỉ? Hơn thế nữa, thực tế là có không ít tài liệu như vậy đã được lưu (cache) ở khắp các website khác nhau nên 1 mặt vá lỗi để chặn đứng rò rỉ, Cloudflare rất cần được làm rất nhiều để bảo đảm an toàn tất cả các thông tin đã rò rỉ không bị tận dụng. Và thậm chí là tệ hơn là ngay cả các trang web không sử dụng Dịch Vụ Thương Mại của Cloudflare, nhưng có nhiều người dùng Cloudflare cũng đều có thể bị liên luỵ.
chuyên gia bảo mật thông tin Ryan Lackey đã đề ra một số khuyến cáo có ích, bởi Công Ty CryptoSeal của ông được Cloudflare mua lại năm 2014.
"Cloudflare đứng sau khá nhiều Thương Mại & Dịch Vụ web như Uber, Fitbit, OKCupid … nên thay vì cố định vị Dịch Vụ Thương Mại nào đang dùng Cloudflare, chắc hẳn rằng bạn nên nhân cơ hội này biến đổi tất cả mật khẩu trên toàn bộ các trang web bạn đăng nhập. Người dùng cũng nên đăng xuất rồi mới đăng nhập lại trên các phần mềm di động sau update này. Nếu hoàn toàn có thể, bạn nên sử dụng chứng thực bảo mật thông tin 2 lớp với các trang bạn cho là quan trọng".
>>> Xem thêm: bán hp dl380 gen 10
| © Copyright 2011-2013 iSoftco®, All rights reserved Văn phòng công ty: P.16/706, Tòa nhà Thành Công, 57 Láng Hạ, phường Thành Công, quận Ba Đình, Hà Nội Tel: (84-4) 37 875018;(84-4) 3555 8604 | Fax: (84-4) 37 875017 | E-Mail: cho24h@isoftco.com |