Miliony serwisów narażonych na ogromne wycieki danych – zmień hasła!

2 minuty czytania
Komentarze

Chcesz czuć się bezpiecznie? Powinieneś zmienić swoje hasła w wielu serwisach internetowych, gdyż – jak informuje Niebezpiecznik.pl – około 5,5-miliona witryn potencjalnie mogło ujawnić takie dane jak hasła, zdjęcia czy też prywatne wiadomości swoich użytkowników. Wszystko sprowadza się do usług Cloudflare, z których korzystają takie witryny jak Uber, FitBit czy też 1Password. Pełną listę znajdziecie pod następującym linkiem: Klik! Z kolei jeśli jesteście zainteresowani jedynie polskimi stronami to jeden z komentujących powyższego artykułu udostępnił następujący spis: Klik!

Oczywiście większość z Was wie, że powinna zmienić hasła i najlepiej zastosować podwójną weryfikację użytkownika, gdzie tylko się da na narażonych witrynach. Teoretycznie problem powodujący wyciek wielu danych jest w użytku od 22 września zeszłego roku i dopiero w ostatni piątek został ujawniony, ale wszelkie wycieki nie były dostępne wprost dla losowych użytkowników, co oczywiście nie oznacza, że hakerzy, którzy zorientowali się w istnieniu błędu już od kilku miesięcy nie powiększają swojej kolekcji prywatnych informacji o innych. Dokładniej rzecz biorąc następujące dane potencjalnie mogły zostać ujawnione:

  • klucze szyfrujące i klucze API
  • ciasteczka
  • hasła
  • adresy IP użytkowników
  • tokeny OAuth
  • parametry URI
  • fragmenty żądań POST zawierające np.:
    • prywatne wiadomości z serwisów randkowych
    • żądania API z managerów haseł przesłane przez HTTPS
    • stopklatki z filmów pornograficznych
    • potwierdzenia rezerwacji hoteli

Teoretycznie prawdopodobieństwo wycieku danych nie jest duże, gdyż w oficjalnym oświadczeniu Cloudflare możemy wyczytać, że największe wycieki pojawiały się w dniach od 13 do 18 lutego z prawdopodobieństwem 0,00003% wystąpienia (1 żądanie na 3300000). Mimo wszystko takie firmy jak Google czy też Bing musieli – już to zrobili – wyczyścić witryny zachowane w pamięci cache, gdyż nawet one mogą zawierać prywatne dane użytkowników. Oczywiście szansa na to, że hakerzy zainteresowali się akurat Twoim konkretnym kontem na chociażby Chomikuj.pl jest niesamowicie mała, ale warto dmuchać na zimne.

To nie pierwszy przypadek w historii Internetu pokazujący jak przez błędy ogromnych korporacji mogą cierpieć prości użytkownicy. Wystarczy przypomnieć chociażby „wpadkę” serwerów Steama, które wysyłały dane zalogowanych użytkowników z pamięci cache w sposób niemalże losowy. Tym samym jeszcze raz powtórzę zalecenia portalu Niebezpiecznik – zmieńcie hasła i zawsze korzystajcie z dwuetapowych weryfikacji. Nie tylko na kluczowych portalach takich jak banki, ale również na portalach społecznościowych (Facebook, Twitter), skrzynkach pocztowych czy też chmurach (Dropbox).

Po więcej szczegółów odsyłam to artykułu, do którego link znajdziecie w pierwszym akapicie, jeśli jesteście zainteresowani poznaniem „od środka” powodu całego zamieszania czy też informacji na temat przebiegu wydarzeń od odkrycia błędu do jego wyeliminowania.

Motyw