Krytyczny bug w Cloudflare. Chaos i wyciek poufnych danych… które zindeksowało Google

24 lutego 2017, 00:32 | Aktualności | komentarzy 8
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Tavis Ormandy ujawnia szczegóły podatności w Cloudflare. Dokładny opis opublikowała też ta ostatnia:

(…) our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines.

Co to za „inne wrażliwe dane” w opisie powyżej? Tavis pisze np. tak:

PII [ personally identifiable information – przyp. redakcja ] from major sites that use cloudflare, and even plaintext API requests from a popular password manager that were sent over https (!!).

Requesty do API managerów haseł (po https) – które nagle stają się dostępne w plaintext i do tego zaindeksowane „przypadkiem” przez Google. Oops. A to zapewne tylko czubek góry lodowej – bo dalej czytamy Tavisa:

The examples we’re finding are so bad, I cancelled some weekend plans to go into the office on Sunday to help build some tools to cleanup.

[zapewne chodzi o usunięcie danych z indeksu Google – przyp. redakcja]

Mocno ocenzurowane przykłady:

Źródło: Google

Źródło: Google

Z ciekawostek – Cloudflare z pomoc zaproponowało Tavisowi w ramach bug bounty… koszulkę :P

Cloudflare pointed out their bug bounty program, but I noticed it has a top-tier reward of a t-shirt.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin
    Odpowiedz
  2. Ktos

    Za koszulkę powinien im obiecać ż następnym razem sprzeda na black markecie albo po prostu upubliczni.

    Odpowiedz
  3. .

    To się tak nie tłumaczy. Oni mu wskazali, że jest bug bounty, a on sobie wyczytał, że w bug bounty najlepsza nagroda to koszulka. Przynajmniej oficjalnie. I pewnie już niedługo.

    Odpowiedz
  4. Grzegorz

    Panowie to podajcie przykłady stron używających cloudflare. Nie każdy się zna, nie każdy musi wiedzieć. Czy stworzono jakieś miejsce w którym można sprawdzić czy jest się w tych zintegrowanych danych???

    Odpowiedz
  5. Dostał koszulkę… Historia z nominacja na mema internetowego a’la awans Dem’a.

    Odpowiedz

Odpowiedz

Time limit is exhausted. Please reload CAPTCHA.