Cloudbleed: apa yang anda perlu tahu dan apa yang perlu anda lakukan

Pada 17 Februari 2017, penyelidik kelemahan dari Projek Google Zero Tavis Ormandy tersandung pada apa yang kelihatan seperti kebocoran data yang benar-benar buruk dari Cloudflare, sebuah syarikat prestasi dan keselamatan web. Dia dengan cepat menghubungi orang "kanan" di Cloudflare dan keadaannya ditangani dalam masa kurang daripada satu jam.

Mana-mana pelanggaran data boleh menjadi penting. Terutamanya apabila perkhidmatan mempunyai lebih dari satu bilion pengguna. Kami akan mengarahkan anda kepada laporan insiden Cloudflare untuk mendapatkan butir-butir lengkap tentang apa yang berlaku (amaran: ia agak teknikal). Dalam istilah awam, data telah bocor yang berpotensi sensitif. Data ini tersedia untuk sesiapa sahaja, bahkan labah-labah web yang digunakan oleh enjin carian. Kekunci SSL tidak bocor.

Ciri-ciri Cloudflare yang menggunakan parser HTML yang terjejas (pengekalan e-mel, Tidak termasuk Server, dan Rewrites HTTPS Automatik) telah digunakan oleh banyak syarikat. Syarikat-syarikat yang berkemungkinan besar bahawa anda mempunyai akaun dalam talian dengan, Ini bermakna data anda mungkin terdedah.

Negara-negara Bergerak menggunakan beberapa perkhidmatan Cloudflare. Sebenarnya, anda akan mendapati kami dalam senarai terapung di sekitar tapak yang berpotensi terjejas. Kami telah mengesahkan bahawa perkhidmatan yang terjejas tidak digunakan dan tidak pernah digunakan di mana-mana tapak Pertubuhan Mudah Alih.

Selepas penyiasatan, ciri-ciri di sebalik #Cloudbleed (E-mail Obfuscation, SSE, HTTPS Rewrites) tidak pernah aktif di laman @MobileNations

- Marcus Adolfsson (@madolfsson) 24 Februari 2017

Kami juga menerima notis dari Cloudflare tentang kebocoran dan mereka mengatakan ini:

Domain anda bukanlah salah satu domain di mana kami telah menemui data terdedah di mana-mana cache pihak ketiga. Bug telah ditambal sehingga tidak lagi membocorkan data. Walau bagaimanapun, kami terus bekerja dengan cache ini untuk menyemak rekod mereka dan membantu mereka membersihkan sebarang data yang terdedah yang kami dapati. Jika kami mendapati sebarang data yang bocor mengenai domain anda semasa carian ini, kami akan menghubungi anda secara terus dan memberikan anda butiran lengkap mengenai apa yang telah kami temui.

Cari penyataan yang serupa dari tempat lain yang mempunyai akaun untuk mendapatkan maklumat tentang data anda yang mungkin terdedah.

Apa patut saya buat

Seperti keadaan keselamatan yang paling besar, kami tidak akan mengetahui butir-butir lengkap tentang apa yang telah dan tidak dibocorkan. Kami boleh mengesahkan bahawa kami tidak menggunakan perkhidmatan yang disebut sebagai terdedah, tetapi kami tidak tahu bagaimana perkara lain pada pelayan Cloudflare mungkin terjejas. Setiap pelanggan Cloudflare berada dalam bot yang sama.

Itu bermakna sudah tiba masanya untuk anda mendapat proaktif.

Tukar kata laluan untuk semua akaun dalam talian anda

Ya, ini menyebalkan, tetapi tahu apa yang menyebarkan lebih banyak? Mempunyai seseorang mendapatkan butiran anda dan mempunyai akses kepada barangan yang anda tidak mahu mereka mempunyai akses kepada. Gunakan pengurus kata laluan dan biarkan ia membuat kata laluan gila dan ingat mereka untuk anda jika anda tidak mempunyai rutin pengurusan kata laluan anda sendiri. Sekiranya anda tidak menggunakan pengurus kata laluan pada masa lalu tetapi mahu menyemak satu keluar, kini adalah masa yang tepat.

Lagi: Pengurus kata laluan terbaik untuk Android

Sekarang juga adalah masa yang baik untuk diingati bahawa anda perlu mengubah kata laluan anda dengan kerap, yang menjadikan pengurus kata laluan mesti jika anda mempunyai banyak akaun.

Dayakan pengesahan dua faktor pada setiap akaun yang telah tersedia sebagai pilihan

Sekiranya anda mempunyai pengesahan dua faktor didayakan, orang lain dengan butiran log masuk anda masih tidak dapat mengakses akaun anda. Pengesahan dua faktor juga boleh menjadi kesakitan di punggung kadangkala, tetapi ia merupakan cara terbaik untuk melindungi diri anda apabila pelanggaran data besar berlaku, seperti yang kita lihat sekarang.

Berikut adalah beberapa sumber mengenai pengesahan dua faktor.

• Apa yang anda perlu ketahui mengenai pengesahan dua faktor
• Bagaimana untuk menyediakan pengesahan dua faktor pada akaun Google anda
• Tambahkan Kunci Keselamatan USB ke akaun Google anda
• Kunci keselamatan tanpa wayar kini berfungsi pada Android
• Muat turun Google Authenticator
• Senarai laman web dan sama ada mereka menyokong 2FA atau tidak.

Tiada apa yang boleh kita lakukan akan menghalang kebocoran data jenis ini. Yang penting ialah apa yang dapat kita lakukan untuk melindungi diri kita apabila ia berlaku,