Nos últimos meses, um bug no popular serviço Cloudflare pode ter exposto dados confidenciais de usuários, incluindo nomes de usuários , senhas e mensagens privadas para o mundo em texto simples. Mas qual é o tamanho desse problema e o que você deve fazer?
O Cloudflare é um serviço que oferece recursos de segurança e desempenho (entre outras coisas) a uma ampla rede de sites. Ele age como um proxy reverso, um intermediário entre você - o usuário - e um determinado site. Quando você for visitar esse site, você será direcionado a um dos servidores da Cloudflare em vez dos servidores do site.
Isso permite que a Cloudflare garanta que você é um usuário legítimo (protegendo contra ataques de negação de serviço), carregar o site mais rápido (já que eles armazenam em cache certas partes do site) e protegem contra o tempo de inatividade (já que eles têm vários servidores em todo o mundo e podem recorrer a qualquer servidor se houver algum problema).
Cloudflare garante que atacantes DDoS • O Cloudflare tem como objetivo tornar os sites mais rápidos e mais seguros, e é um serviço que muitos sites usam.
O que aconteceu? (E o que é “Cloudbleed?”)
causou um problema de segurança: um bug no código de proxy reverso que analisa HTML fazia com que os servidores da Cloudflare vazassem o conteúdo de sua memória em determinadas circunstâncias. (Algumas pessoas estão se referindo a isso como "Cloudbleed", um play do bug Heartbleed que também afetou uma grande parte da Internet.) Esses dados poderiam ter incluído todos os tipos de dados confidenciais, incluindo nomes de usuários, senhas e mensagens privadas. , Tokens OAuth e muito mais. Pior ainda, alguns desses dados foram indexados e armazenados em cache por alguns mecanismos de pesquisa (cerca de 700 páginas, de acordo com a Cloudflare), portanto, se você souber o que pesquisar no Google, poderá encontrar dados confidenciais de usuários que fazem login no momento de um determinado vazamento.
Se você souber o que pesquisar, poderá encontrar algumas informações vazadas do Cloudflare nos mecanismos de pesquisa.
Esse bug não foi descoberto por cerca de cinco meses e foi corrigido após ser descoberto nesta semana. A Cloudflare diz que “o maior período de impacto foi de 13 de fevereiro e 18 de fevereiro, com cerca de 1 em cada 3.300.000 pedidos HTTP no Cloudflare potencialmente resultando em vazamento de memória (cerca de 0,00003% de solicitações).”
Mas com um serviço tão popular quanto Cloudflare, 0,00003% ainda é muito. Algumas pessoas têm compilado uma lista de sites que usam o Cloudflare e incluem mais de 4 milhões de domínios, incluindo Yelp, OkCupid, Uber, Authy, Medium e muitos outros. (Alguns aplicativos móveis também são afetados.)
Você pode ler mais sobre os detalhes técnicos desse bug no blog da Cloudflare, embora provavelmente só seja do seu interesse se você for um programador - se você for um usuário regular da Internet , a única coisa que você precisa saber é ...
O que devo fazer?
poderiam incluir alguns nomes de usuários e senhas aleatórias a qualquer momento. No entanto, a Cloudflare também observou que uma de suas próprias chaves privadas vazou, o que teria fornecido ao atacante acesso a muitos dados internos da Cloudflare - incluindo, potencialmente, nomes de usuários e senhas. A Cloudflare foi extremamente vaga sobre esse ponto em particular, apesar de ser um grande risco à segurança com o potencial de vazar informações muito mais confidenciais
Tudo o que foi dito, não há uma maneira real de saber se algum dos seus dados vazou e onde, o único curso seguro de ação agora é para
mude todas as suas senhas . (Claro, você poderia olhar através da lista de 4 milhões de sites e apenas mudar aqueles usados pelo Cloudflare, mas honestamente, provavelmente seria mais fácil e mais rápido apenas mudá-los todos.) As regras usuais com senhas se aplicam aqui: não use a mesma senha em vários sites, use um gerenciador de senhas como o LastPass e ative a autenticação de dois fatores para cada site que permitir. Se você não estiver fazendo essas coisas, o bug do Cloudflare é provavelmente a menor das suas preocupações - afinal de contas, sites são hackeados o tempo todo, e se você estiver usando a mesma senha em todos os lugares, todos os seus dados estarão regularmente em risco.
Se você já estiver usando um gerenciador de senhas, esse processo deve ser fácil (se for um pouco longo e chato). Mas você deveria estar acostumado a essa dança agora.
Os melhores truques assustadores de Philips Hue para Halloween
Halloween estão chegando, e se você tiver uma casa cheia de lâmpadas Philips Hue, agora é a hora de realmente colocá-las em bom uso. Aqui estão algumas ótimas maneiras de usar essas luzes para tornar sua casa um pouquinho assombrada. Tire vantagem dos Horrible Greens da Hue Se você tem lâmpadas Hue de 1ª ou 2ª geração, então você pode estar familiarizado mal eles produzem uma verdadeira cor verde - é mais como um verde amarelo repugnante, mas o que é bom é durante o Halloween.
Como reabrir guias fechadas em um iPhone ou iPad
Navegadores móveis modernos permitem que você reabra as guias que você fechou recentemente, assim como os navegadores de desktop. No navegador Safari da Apple para iPhone e iPad, o recurso é um pouco oculto, mas está lá. Você também pode reabrir as guias fechadas no Google Chrome e em outros navegadores de terceiros em um iPhone ou iPad.