Nhiều dữ liệu cá nhân nhạy cảm bao gồm các tập tin cookie, khóa API và mật khẩu đã bị rò rỉ bởi trang dịch vụ bảo mật website khổng lồ CloudFlare.
CloudFlare là một dịch vụ CDN và DDNS kết hợp để gia tăng tốc độ và tính bảo mật cho website. Công ty cung cấp mã hóa SSL cho hàng triệu trang web trên Internet vừa thông báo bị rò rỉ thông tin trong một bài đăng chi tiết trên blog của hãng đêm qua.
Hãng cho biết vẫn chưa thấy trường hợp nào sử dụng các thông tin rò rỉ để gây hại, nhưng lưu ý rằng có vấn đề vì một số dữ liệu đã được lưu trữ bởi các công cụ tìm kiếm.
Lỗi này được phát hiện đầu tiên bởi Tavis Ormandy, chuyên gia bảo mật trong dự án Project Zero của Google. Anh đã phát hiện lỗ hổng này vào ngày 18/02, nhưng các lỗ hổng này có thể đã được tận dụng từ ngày 22/09 năm ngoái.
Công ty cho biết một lượng lớn thông tin bắt đầu lộ ra vào ngày 13/02 khi có sự thay đổi trong các đoạn mã, nghĩa trong mỗi 3.300.300 yêu cầu HTTP thì có một yêu cầu gây rò rỉ bộ nhớ, một con số đáng kể đối với một mạng lưới rộng lớn như CloudFlare.
Ormandy cho biết ông tìm thấy thông tin đặt khách sạn, mật khẩu từ các nhà quản lý mật khẩu và các thông điệp đầy đủ của các trang web hẹn hò từ các dữ liệu được lưu trữ trên Cloudflare.
“Tôi không biết có bao nhiêu trang web dùng dịch vụ CloudFlare CDN cho đến khi vụ việc này”, ông đã viết trên Twitter ngày 19/02. “Chúng ta đang nói về các yêu cầu https đầy đủ, các địa chỉ IP của khách hàng, cookies, mật khẩu, chìa khóa, dữ liệu, tất cả mọi thứ. “Sau khi tweet của Ormandy, các kỹ sư CloudFlare đã vô hiệu hóa ba tính năng sử dụng các mã bị hỏng gây ra vấn đề và chuyển đến làm việc với các công cụ tìm kiếm đã được lưu trữ các thông tin để xóa nó.
Vụ rò rỉ là kết quả của việc tràn bộ đệm, vấn đề này gây ra bởi một sai lầm trong các đoạn mã của hãng. CloudFlare cho biết các lỗi đã có trong code nhiều năm qua, nhưng đã không được phát hiện cho đến khi công ty chuyển từ phân tích cú pháp Ragel sang phân tích cú pháp mới được gọi là cf-html và việc rò rỉ đã xảy ra, mặc dù bản thân cf-html không có vấn đề.
Lý giải về sự chậm trễ trong việc công bố thông tin rò rỉ, CloudFlare cho biết khuynh hướng của hãng là tìm các thông tin về các bug càng nhanh càng tốt. Nhưng công ty phải có bổn phận đảm bảo khắc phục bộ nhớ đệm của công cụ tìm kiếm trước khi thông báo lỗi đến mọi người. CloudFlare cũng cho biết họ đã tiến hành tìm kiếm thông tin rò rỉ trên các trang web như Pastebin những không thấy gì.
Bài viết trên blog của CloudFlare tuyên bố rằng hãng chỉ mất hơn 7 giờ để ngăn chặn ba nguồn rò rỉ có nguy cơ lớn, và Ormandy cho biết ông đã “thực sự ấn tượng” với phản ứng nhanh chóng của hãng này đối với vấn đề. Tuy nhiên, bạn nên thay đổi mật khẩu của bạn, đặc biệt khi dùng các trang có nhúng vào CloudFlare.
Theo: theverge