Cloudbleed bug: Tudo o que você precisa saber

Cloudbleed é o mais recente bug da Internet que coloca os usuários informações privadas em perigo. Notícias do bug quebrou tarde na quinta-feira, mas já há muita confusão sobre ele eo impacto real que tem sobre a informação das pessoas.

Nós compilamos isso como um guia para Cloudbleed e como você deve responder. As notícias de Cloudbleed estão em andamento, e nós atualizaremos este artigo à medida que surjam novos problemas. Verifique se há novas informações.

O que é Cloudbleed?

Cloudbleed é o nome de uma falha de segurança importante da empresa de internet Cloudflare que vazou senhas de usuário e outras informações potencialmente sensíveis para milhares de sites durante seis meses. O registro descreve-o como "sentar-se para baixo em um restaurante, supostamente em uma tabela limpa, e além de ser entregado um menu, você é dado igualmente o conteúdo da carteira ou da bolsa anterior do diner."

O nome vem de Tavis Ormandy do Google Project Zero, que relatou o bug para Cloudflare e brincou sobre chamá-lo Cloudbleed após o bug de segurança de 2014 Heartbleed .

É Cloudbleed pior do que Heartbleed?

Neste ponto, não. Como assustador como qualquer violação de segurança internet parece, estes foram bastante diferentes. Heartbleed afetou meio milhão de sites, enquanto que neste momento apenas 3.400 sites são acreditados ter tido o bug Cloudbleed.

Mas aqui está a parte potencialmente assustadora. Esses 3.400 sites vazaram dados privados que vieram de outros clientes Cloudflare. Assim, o número real de sites realmente afetados poderia ser muito maior.

Cloudbleed ainda é ativamente perigoso?

Não. Pense em Cloudbleed como uma pessoa que sobrevive a um ataque cardíaco. É assustador e exigirá mudanças para impedir que isso aconteça novamente. Mas o pior de tudo acabou, por agora.

Se houver um upside a esta história, é que Cloudflare parou o erro dentro de 44 minutos de encontrar para fora sobre ele e fixou o problema completamente dentro de 7 horas.

No entanto, acredita-se que o bug tenha afetado websites indo até setembro, com a altura da quebra ocorrendo entre 13 a 18 de fevereiro. Portanto, haverá ondulações de conseqüente precipitação como empresas aprender sobre o bug e se as informações dos seus clientes estava envolvido.

Quem é Cloudflare?

O Cloudflare fornece infra-estrutura de internet e segurança essenciais para milhões de sites. Em seu site , Cloudflare listas Nadaq, Bain Capital, OKCupid, ZenDesk e Cisco, entre outros, sob o seu "Trusted by" seção.

Mesmo que você possa não estar familiarizado com o nome Cloudflare, as chances são de um site que você visitou usa a empresa para a segurança ou entrega de informações.

Quais sites foram afetados?

Neste ponto, sabemos que Uber, Fitbit e OKCupid foram três diretamente afetados, mas há milhares mais.

Em resposta à notícia do vazamento, as empresas levaram para o Twitter para reconhecer o bug e tranqüilizar seus clientes.

Quantas pessoas estão em risco por causa do Cloudbleed?

É difícil dizer, mas é baixo. Como eu mencionei acima, o pico do bug Cloudbleed foi entre 13 de fevereiro a 18. Em um post no seu site , Cloudflare afirma que durante este tempo cerca de "1 em cada 3.300.000 solicitações HTTP através do Cloudflare" potencialmente resultou em vazamento de memória. Essa estatística foi mais esclarecida a cerca de 0,00003 por cento dos pedidos.

Que tipo de informação foi vazada?

Quando você olha para o endereço da web para um site que você está em, às vezes você vê "http" no início. Mas quando você está em um site seguro, por exemplo, um banco ou uma tela de login de senha, você verá "https" no início indicando que a página é segura.

Serviços como o Cloudflare ajudam a mover informações inseridas nesses sites "https" entre usuários e servidores com segurança. O que aconteceu aqui é que algumas informações seguras foram salvas inesperadamente quando não deveria ter sido. E para piorar as coisas, algumas das informações seguras protegidas foram armazenadas em cache por mecanismos de busca como Google, Bing e Yahoo.

Assim, poderia ter sido um nome de usuário ou uma senha, uma foto ou quadros de um vídeo, bem como por trás das cenas coisas como informações de servidor e protocolos de segurança. Neste momento, não há indicação de que qualquer uma dessas informações tenha sido acessada por hackers.

O que devo fazer?

A verificação em duas etapas pode ajudar a manter suas contas seguras.

Para ser honesto, nada que você faça agora vai desfazer o que aconteceu. Mas há coisas que você pode fazer para se proteger de tais coisas acontecendo novamente antes que aconteça o próximo incidente do tipo Cloudbleed.

A primeira coisa a fazer é alterar as senhas de qualquer uma de suas contas que usam o Cloudflare. Fitbit, OKCupid e Medium são alguns, mas você pode descobrir se os sites que você usa dependem do Cloudfare com esta ferramenta .

E, se qualquer um desses sites ou serviços oferecer verificação em duas etapas (às vezes chamado de verificação de dois fatores), use-o. Garante que, mesmo que alguém tenha acesso à sua senha, eles não poderão acessar sua conta.

Também recomendamos que entre em contato com as empresas dos sites e serviços que você usa e deixe-os saber seus sentimentos sobre como proteger sua segurança e privacidade. Como preocupado com Cloudbleed como algumas pessoas podem ser, as empresas vão ser muito preocupado também e ouvir de seus clientes pode percorrer um longo caminho para melhorar as coisas para todos.

O que acontece depois?

Novamente, as informações sobre Cloudbleed tornaram-se públicas a partir de 23 de fevereiro, e à medida que recebemos novas informações sobre o bug, vamos atualizar este artigo.

Cultura da tecnologia: do cinema e da televisão para as mídias sociais e jogos, aqui está o seu lugar para o lado mais leve da tecnologia.

CNET Magazine : Confira uma amostra das histórias que você vai encontrar na edição da CNET newsstand.