Cloudbleed: hvad du skal vide, og hvad du skal gøre

Indholdsfortegnelse:

Hvad skal jeg gøre
Skift adgangskode til alle dine online konti
Aktivér tofaktorautentisering på hver konto, der har den tilgængelig som en mulighed

Den 17. februar 2017 snublede sårbarhedsforsker fra Googles Project Zero Tavis Ormandy over det, der lignede en virkelig grim datalækage fra Cloudflare, et webpræstations- og sikkerhedsfirma. Han kontaktede hurtigt de "rigtige" mennesker på Cloudflare, og situationen blev løst på mindre end en time.

Enhver brud på data kan være betydelig. Især når en tjeneste har over en milliard brugere. Vi henviser dig til Cloudflare-hændelsesrapporten for at få detaljerede oplysninger om, hvad der skete (advarsel: det er temmelig teknisk). I lægmandsbetingelser lækkede data, der var potentielt følsomme. Disse data var tilgængelige for enhver, også webspiders, der blev brugt af søgemaskiner. SSL-nøgler blev ikke lækket.

Cloudflare-funktionerne, der brugte den berørte HTML-parser (e-mail-obfuscation, ekskludering af serversiden og automatiske HTTPS-omskrivninger) blev brugt af mange virksomheder. Mest sandsynlige virksomheder, som du har onlinekonti med. Dette betyder, at dine data kan være blevet udsat.

Mobile Nations bruger nogle af Cloudflares tjenester. Faktisk finder du os på listen flyder rundt på steder, der potentielt er berørt. Vi har bekræftet, at de berørte tjenester ikke er i brug, eller at de nogensinde er blevet brugt på nogen Mobile Nations-websteder.

Efter undersøgelse har funktionerne bag #Cloudbleed (Email Obfuscation, SSE, HTTPS Rewrites) aldrig været aktive på @MobileNations-websteder
- Marcus Adolfsson (@madolfsson) 24. februar 2017

Vi modtog også besked fra Cloudflare om lækagen, og de havde det at sige:

Dit domæne er ikke et af de domæner, hvor vi har opdaget eksponerede data i nogen tredjepartscacher. Fejlen er blevet opdateret, så den ikke længere lækker data. Vi arbejder dog fortsat med disse cacher for at gennemgå deres poster og hjælpe dem med at rense alle eksponerede data, vi finder. Hvis vi opdager data, der lækker om dine domæner under denne søgning, vil vi kontakte dig direkte og give dig alle detaljer om, hvad vi har fundet.

Se efter en lignende erklæring fra andre steder, hvor du har en konto, for at få oplysninger om dine data, der muligvis er blevet udsat.

Hvad skal jeg gøre

Som de fleste store sikkerhedsinstanser ved vi aldrig de fulde detaljer om, hvad der var og ikke var lækket ud. Vi kan bekræfte, at vi ikke bruger de tjenester, der blev nævnt som sårbare, men vi ved ikke, hvordan noget andet på Cloudflares servere kan have været påvirket. Hver Cloudflare-kunde er i den samme båd.

Det betyder, at det er tid for dig at blive proaktiv.

Skift adgangskode til alle dine online konti

Ja, dette suger, men ved du hvad der stinker mere? Når nogen får dine detaljer og har adgang til ting, du ikke ønsker, at de skal have adgang til. Brug en password manager og lad det lave skøre adgangskoder, og husk dem for dig, hvis du ikke har din egen adgangskodestyringsrutine. Hvis du ikke tidligere har brugt en adgangskodemanager, men ville tjekke en, er det nu et perfekt tidspunkt.

Mere: Bedste adgangskodeadministratorer til Android

Nu er det også et godt tidspunkt at huske, at du regelmæssigt skal ændre dine adgangskoder, hvilket gør en password manager til et must, hvis du har en masse konti.

Aktivér tofaktorautentisering på hver konto, der har den tilgængelig som en mulighed

Hvis du har aktiveret tofaktorautentisering, kan en anden med dine loginoplysninger stadig ikke få adgang til din konto. To-faktor-godkendelse kan også være en smerte i ryggen nogle gange, men det er den bedste måde at beskytte dig selv, når der sker et big data-brud, som det vi ser nu.

Her er nogle ressourcer til tofaktorautentisering.