Cloudflareの膨大なWebメモリとWebサービスのメモリリークにより、数千のサイトのユーザーデータが明らかになる可能性があります。 つまり、パスワードを変更するときです 。
Cloudbleedが既に愛称を付けたこのリークの潜在的な被害の程度については、まだ多くのことを学ぶ必要があります-2014年のHeartbleedに似ています。しかし、ユーザーデータを含む可能性のあるリークの一部はキャッシュに移動する可能性があります検索エンジン。 潜在的に、これにより、リーク自体よりもプライベートデータを広めることが可能になります。
クラウドブリードが発見されました Google Project Zeroセキュリティチームのアナリスト、Tavis Ormandyによる2月18日。 この投稿では、メモリリークがどの程度正確に検出および修正されたかについて詳しく説明しています。 Cloudflareによると、「最大のリークは2月13日から18日までで、Cloudflareを介した3300 000 HTTPリクエストごとに約1件です(これはすべてのリクエストの約0.00003%、またはプライベートデータが毎日約10万から20万ページです)」
影響を受けるサイトの公式リストはまだありませんが、多くのサービスはCloudbleedに関係なくユーザーにパスワードの変更を求めます。 ユーザーGithub は、 「ドメインがリストにあるからといって、サイトがハッキングされているという意味ではなく、サイトが侵害される可能性がありますが、このリストには含まれない」という制限で、侵害されたサイト (英語)のリストを公開しました 収集したデータに基づいて、彼は400万以上のサイトが危険にさらされていると主張しています。 Cloudflare自体によると、1000を超えるドメインが侵害されています。
最も厄介なのは、2要素認証でさえこの種の漏洩を防ぐことができず、おそらくパスワードの変更も必要になることです。
一方、Cloudflareは、「このリークを使用するマルウェアの証拠も見つかりませんでした」などのメモを公開することで、薬を甘くしようとしていますが、これは、このような巨大なリークに関係する大企業が言うことです。
以下は、リスクがあると疑われる最も有名なサイトの一部です。
リストを読むことはできますが、最初にパスワードを変更することをお勧めします。
authy.com
coinbase.com
bitcoin.de
betterment.com
transferwise.com
prosper.com
patreon.com
bitpay.com
ニュース。 ycombinator.com
producthunt.com
medium.com
4chan.org
yelp.com
okcupid.com
uber.com
poloniex.com
localbitcoins.com
kraken.com
23andme.com
curse.com(およびminecraftforum.netなどのいくつかのCurseサイト)
counsyl.com
tfl.gov.uk
account.leagueoflegends.com
マイアカウント nytimes.com
technicpack.net
cloudflare.com
blockchain.info
discordapp.com(確認されたリーク)
digitalocean.com (検索エンジンキャッシュでデータリークは検出されません)
namecheap.com(検索エンジンキャッシュにデータリークは見つかりませんでした)
glassdoor.com (検索エンジンキャッシュでデータリークは検出されません)
vultr.com(検索エンジンキャッシュにデータリークは見つかりませんでした)
tineye.com
feedly.com
thepiratebay.org
pastebin.com
upwork.com
UPD :
@PHmasterの推奨事項:
ここにそのような有用なサービスが見つかりました: cloudbleed.github.io
侵害された可能性のあるリストのどのサイトにアクセスしたかを表示します。