Ez lehet az év biztonsági incidense

A biztonsági szakemberek szörnyülködnek és csemegéznek: a napvilágra került rés hallatlanul komoly, de úgy tűnik, bűnözők nem fedezték fel.

A körülbelül hatmillió weboldalt hosztoló CloudFlare tegnap egy hatalmas hullámokat kavaró közleményt adott ki, melyben arról számolnak be, hogy egy szoftverhiba miatt több százezer oldalról voltak hozzáférhetőek a személyes adatok – igaz, jelen pillanatban semmi jele annak, hogy a sérülékenységet bárki is kihasználta volna, és megszerezte volna az információkat.

A közleményt megfogalmazó John Graham-Cumming, a CloudFlare technológiai vezetője leírja, hogy a hibára a világ talán leghíresebb hibavadásza, a Google Project Zerónál dolgozó Tavis Ormandy hívta fel a figyelmüket egy héttel ezelőtt: az oldallátogatások során a szerverek kezeltek személyes adatokat, és ezek egy részét a keresők titkosítatlanul megőrizték a cache-ben.

Ormandy
[+]

Ezek után a CloudFlare és a Google, valamint más keresők szakemberei egy sürgősségi csapatot állítottak fel, hogy pontosan azonosítsák és kijavítsák a hibát, és erőfeszítéseiknek hála, igen gyorsan lezárták a rést, majd a keresők tárolójából eltávolították a személyes adatok nagy részét. A vizsgálat során arra jutottak, hogy ezekhez az információkhoz senki nem jutott hozzá, legalábbis nem találtak erre utaló bizonyítékot.

Megállapították, hogy a sérülékenység már tavaly szeptember 22. óta aktív volt, de az igazán komoly mértékű adatszivárgás február 13. és február 18. (a felfedezés időpontja) között történt: amikor a legveszélyesebb volt a helyzet, naponta 120 ezer weboldalról kerültek ki az érzékeny adatok: szinten minden, így pl. privát üzenetek randioldalakról, teljes szöveges üzenetek chatszolgáltatásokból, jelszókezelők adatai, személyes adatok pornóoldalakról, szállodai foglalások részletes adatai, ahogy sütik, jelszavak, szoftverkulcsok is stb. Azt pontosan nem tudni, hogy a hatmillió hosztolt oldalból hány érintett – írja John Graham-Cumming –, de a Google munkatársaival együtt még mindig dolgoznak azon, hogy teljes egészében feltárják a sérülékenység következményeit.

Azóta történt

Előzmények