Những gì rò rỉ Cloudbleed cho chúng tôi biết về an ninh trực tuyến
Một số lượng đáng kinh ngạc của các trang web sử dụng proxy ngược và các dịch vụ giảm thiểu DDoS như Cloudflare (ví dụ Reddit) để bảo vệ chúng khỏi các thảm họa lớn và giữ cho đèn luôn bật. Các dịch vụ này thường tự tiếp thị với tư cách là nhà cung cấp bảo mật và nâng cao hiệu suất.
Tuy nhiên, trong mâu thuẫn trực tiếp với điều này, vào ngày 17 tháng 2 năm 2017, một lỗi lớn trong phần mềm của Cloudflare đã gây ra một lượng lớn dữ liệu cá nhân từ hàng triệu trang web để có thể truy cập tại bất kỳ thời điểm nào. Một số dữ liệu này thậm chí còn xuất hiện trên các bản sao trang web được lưu trong bộ nhớ cache hiển thị trong kết quả tìm kiếm của Google. Sự kiện đặc biệt này, được gọi là Cloudbleed, đã trình bày một cơ hội quý báu cho một cuộc thảo luận về việc sử dụng công nghệ an toàn.
Tất cả những thứ ...... này là gì?!
Đối với những người không được khởi xướng, Cloudflare là một dịch vụ hoạt động như một người trung gian giữa trang web của bạn và Internet rộng hơn. Khi bạn truy cập một trang web sử dụng dịch vụ, bạn đang thực sự kết nối với Cloudflare kết nối với trang web và chuyển tiếp kết quả đầu ra của nó cho bạn. Nó sẽ cache một số trang được truy cập thường xuyên hơn để trang web không phải trả lời mỗi lần ai đó kết nối, do đó làm giảm tác động mà lượng lưu lượng lớn có trên máy chủ cục bộ. Điều này cũng giúp giảm thiểu tác động tấn công từ chối dịch vụ (DDoS) trên trang web của bạn vì có một người trung gian có thể ngăn chặn các cuộc tấn công này, hoạt động như một loại đèn giao thông cho phép khách truy cập hợp pháp và dừng bot . Cloudflare và các dịch vụ proxy ngược lại khác (như Incapsula và Akamai) thường sẽ tự tiếp thị với tư cách là người cung cấp bảo mật trang web.
Cloudbleed là gì?
Cloudbleed là sự kiện trong đó một phần mềm của Cloudflare được phát hiện trong phần mềm Cloudflare của nhóm Project Zero của Google đã phát hiện ra các tin nhắn riêng tư từ các trang web lớn, dữ liệu quản lý mật khẩu trực tuyến và các yêu cầu HTTPS đầy đủ từ một số máy chủ khác. Phản ứng của Cloudflare đối với các yêu cầu kết nối thường sẽ vượt quá dung lượng bộ đệm được cấp phát và trình bày dữ liệu từ bất kỳ khách hàng nào khác truy cập vào các trang web tại thời điểm đó. Nó để lại tất cả mọi thứ trong mở và trình bày một nguy cơ bảo mật thảm khốc cho bất cứ ai sử dụng hoặc sở hữu trang web dựa vào dịch vụ.
Lỗi này được vá vào cuối tháng 2, mặc dù dịch vụ thừa nhận rằng các rò rỉ dữ liệu có thể đã xảy ra ngay khi giới thiệu trình phân tích cú pháp HTML mới của nó vào ngày 22 tháng 9 năm 2016.
Bài học kinh nghiệm
Nếu bạn đã đọc câu chuyện của chúng tôi trong một thời gian, bạn có thể nhớ một sự kiện tương tự được gọi là Heartbleed vào năm 2014, trong đó các trang web sử dụng OpenSSL dễ bị tấn công có thể phơi bày các đoạn dữ liệu riêng tư để thu hút các bên. Điều này cùng với các kerfuffle Cloudbleed gần đây dạy chúng ta một bài học có giá trị: không có gì là một trăm phần trăm đáng tin cậy, thậm chí không có các dịch vụ với mục đích rõ ràng của việc bảo vệ bạn.
Điều này không có nghĩa là để bash Cloudflare. Lỗi có thể đã xảy ra với bất kỳ dịch vụ nào. Vấn đề ở đây là Internet không phải là nơi bạn nên mong đợi mức độ an toàn được đảm bảo. Bạn có thể làm mọi thứ có thể để tự bảo vệ bản thân và vẫn bị bỏ quên trong một tình huống mà bạn không kiểm soát được.
Những gì bạn nên làm?
Sự thật là, như JosephComberg của Inc.Com viết, "Nguy cơ hiện tại là nhỏ hơn nhiều so với mức giá sẽ được trả trong sự gia tăng" sự an toàn không gian mạng ", dẫn đến nhiều vấn đề lớn hơn trong tương lai." Những gì ông có nghĩa là để nói ở đây là rằng bản chất của lỗi làm cho cơ hội mà mật khẩu của bạn bị rò rỉ do đó thiên văn thấp mà thay đổi nó sẽ chỉ có tác dụng của mặc bạn xuống. Khi một cuộc khủng hoảng thực sự xảy ra, bạn có thể quá mệt mỏi bởi tất cả các tiếng ồn, hoảng loạn và cường điệu mà bạn có thể bỏ qua một cuộc gọi để thay đổi mật khẩu của bạn trong một thời điểm quan trọng. Cloudbleed không phải là lúc đó. Nhưng bằng mọi cách, nếu bạn thực sự cảm thấy cần phải làm như vậy, hãy thay đổi mật khẩu của bạn.
Ngoài ra, chỉ cần thận trọng và không bỏ qua email từ các dịch vụ bạn yêu thích. Thời điểm khủng hoảng xảy ra, nhiều khả năng họ sẽ gửi cho bạn một bức thư thân thiện với mọi thứ bạn cần biết về nó và thậm chí có thể đưa ra đề xuất về những việc bạn nên làm để đảm bảo bạn không bị ảnh hưởng.
Bạn có nghĩ rằng sự mệt mỏi an ninh mạng tồn tại như Steinberg gợi ý? Mọi người có nên ở trong trạng thái cảnh giác liên tục ngay cả khi không có một lý do đủ mạnh cho hoảng loạn? Hãy cho chúng tôi biết những gì bạn nghĩ trong một bình luận!