Chybou hostingovej služby odhalili desaťtisíce webov citlivé údaje. Medzi nimi sú aj slovenské online denníky

Bug v softvéri hostingovej služby Cloudflare ohrozil bezpečnosť stoviek tisícov webstránok, medzi nimi aj slovenského úradu vlády. Chyba spôsobovala, že kúsky šifrovaných citlivých údajov posielali weby internetovým prehliadačom. Technický riaditeľ firmy odmietol, žeby šlo o cielený hackerský útok.

Vážnu bezpečnostnú chybu odhalil analytický tím Googlu ešte 18. februára. V tom čase unikali dáta asi zo 120-tisíc webových stránok. Či niekedy unikali dáta aj z viacerých stránok, analytici nepotvrdili, pretože sa nazdávajú, že chyba sa mohla prejavovať už v septembri 2016. Cloudflare pritom spravuje globálne zhruba šesť miliónov webov. „Šlo o rôzne šifrované údaje vrátane súkromných správ z niektorých zoznamovacích webstránok, plné znenia správ zo známych četovacích služieb, heslá, softvérové kľúče, súbory cookies, informácie z bookovania hotelov a niektoré údaje z pornografických stránok,“ napísal v blogu Tavis Ormandy, analytik Googlu, ktorý chybu objavil.

Matthew Prince, CEO Cloudflare počas TechCrunch Disrupt Startup. Foto Max Whittaker/TechCrunch

Časti citlivých dát videl Google

Výkonný technický riaditeľ Cloudflare John Graham-Cumming oznámil v čase, kedy sa chyba firmy prevalila na verejnosť, že Cloudflare rýchlo zapracoval na opravách. Podľa Cumminga je ťažko povedať, či boli ľudia priamo ohrození, keď unikali neštruktúrne dáta o nich samých, zároveň vylúčil cielený útok, alebo akékoľvek zneužitie chyby hackermi. Na druhej strane, firma stále pracuje na odstránení všetkých citlivých údajov, ktoré unikli. Väčšina z nich je už odstránená z cache vyhľadávacích strojov,vrátane vyhľadávača Googlu. Dôležité je zaistiť, aby všetky dáta boli vymazané z pamäte webových stránok. Práve tie vyhľadávacie stroje ako Google zbierajú, keď indexujú internet.

Podľa niektorých analytikov je situácia vážnejšia, než ju podáva technický riaditeľ Cumming. Jonathan Sublett z bezpečnostnej spoločnosti Shield Maiden sa pre agentúru Reuters vyjadril, že každý, kto pracuje na stránkach hostovaných spoločnosťou Cloudflare by si mal rozmyslieť, či im chce ponúknuť osobné údaje.

Hacknutá sexzoznamka neverných, Ashley Madison, zaplatí 1,66 milióna dolárov, obvinená je aj z klamlivých praktík

Slovenský kyberbezpečnostný portál Cybersec.sk uviedol, že služby Cloudflare využívajú aj známe stránky ako The Pirate Bay, či 4Chan. Ohrozeniu sa nevyhli ani slovenské weby, ako napríklad stránka Úradu vlády Slovenskej republiky, hráčsky portál Sector.sk a niektoré portály mediálneho domu News and Media holding: Pluska.sk, Atlas.sk, Aktualne.sk.

Analytik Googlu Tavis Ormandy dokonca na svojom Twitteri dodal, že dáta unikali dokonca aj z obľúbenej ridesharingovej služby Uber či manažéra hesiel 1Password.

Foto Max Whittaker/TechCrunch