К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

CloudFlare сообщила об утечке данных с 4,3 млн доменов: что это значит?

Фото Richard Drew / AP / TASS
Фото Richard Drew / AP / TASS
Защита пользовательских данных становится все более важной частью развития ИТ-бизнеса — в последнее время мы видели слишком много инцидентов

Что произошло?

23 февраля стало известно об уязвимости популярного сервиса для защиты от DDoS атак и оптимизации работы сайтов CloudFlare. Это один из самых успешных за последнее время стартапов по информационной безопасности, получивший более $182 млн венчурных инвестиций. В последнем раунде, на $110 млн (оценка компании не разглашалась), в компанию вложились Google Capital, Qualcomm, Microsoft, китайский Baidu.

CloudFlare начал работу в 2009 году как cервис для защиты от сетевых угроз. По сути, CloudFlare — это «прослойка» между хостингом сайта и его посетителями, которая прячет сайт от внешнего мира и блокируя вредоносную активность. Это используется для ускорения работы сайта, а также для защиты от DDoS-атак (искусственно созданной злоумышленниками нагрузки на сайт, которая должна исчерпать его ресурсы и помешать работе).

 

Уязвимость позволяла любому пользователю интернета получить доступ к памяти серверов CloudFlare, в которой находятся случайные данные пользователей защищаемых сайтов: логины, пароли, кредитные карты — все то, что пользователи вводят на сайтах. По эффекту действия данная уязвимость полностью повторяет «нашумевший» недавно баг в библиотеке OpenSSL (используется для шифрования данных на многих сайтах — Forbes), получивший название HeartBleed. Причиной уязвимости CloudFlare стала его некорректная работа с памятью на низком уровне, вследствие которой, в некоторые ответы, поступившие от сервера, попадают случайные данные пользователей.

Об уязвимости сообщили эксперты из команды Google Project Zero, специализирующейся на поиске уязвимостей нулевого дня, то есть неизвестных ранее методах несанкционированного доступа. Уязвимость была обнаружена методом «фаззинга», то есть машинной генерации аномальных последовательностей ввода. Такой метод в настоящее время считается самым эффективным для поиска новых уязвимостей и применяется во всех современных продуктах по безопасности.

 

Что это означает и что делать сейчас?

Почему в системах безопасности находятся уязвимости?

Это далеко не первый случай обнаружения уязвимостей в продуктах для обеспечения информационной безопасности. Как и любые другие программы, они тоже могут содержать ошибки и уязвимости. Проблема в том, что риски от таких ошибок куда выше — они обладают доступом к более критичным частям системы. Например, антивирусные программы запускаются с повышенными (системными) привилегиями, и поэтому эксплуатация уязвимостей в антивирусах дает атакующему не просто компрометацию одной учётной записи пользователя, но и всего компьютера, вплоть до «железа». Или представьте, например, что вирус поразил защитный продукт, установленный на всех компьютерах аэропорта, таким образом, атакующий получает доступ не просто к одному компьютеру оператора, а сразу ко всем, включая начальника аэропорта.

 

Антивирусы  - это не единственный пример. Сетевые фильтры, например, фаерволы или системы обнаружения вторжений обрабатывают пользовательский трафик, соответственно, риск от их взлома в том, что злоумышленники получат доступ этому трафику. В подобной ситуации оказался CloudFlare — он имел доступ к уже расшифрованному после SSL трафику с личными данными пользователей, и уязвимость в сервисе привела к их утечке.Защитой CloudFlare пользуются как небольшие сайты, так и крупные компании — например, сервис заказа такси Uber, блог-платформа Medium, европейская платежная система TransferWise, приложение для знакомств okcupid и многие другие (всего почти 4,3 млн доменов).

В целом защита пользовательских данных становится все более важной частью развития ИТ-бизнеса в связи с участившимися инцидентами. Например, недавно об утечке данных около 500 млн пользователей (сам инцидент произошёл ещё в 2014 году) сообщила Yahoo, из-за чего Verizon, покупатель бизнеса Yahoo, снизил оценку компании на $350 млн. Летом 2016 года в утечке конфиденциальной информации пользователей признались в Dropbox: были скомпрометированы пароли более 60 млн человек, а само событие широко обсуждалось в прессе. Оценка Dropbox превышает $10 млрд, к концу 2017 года компания, по слухам, собирается на IPO. Скажется ли факт утечки на будущей оценке компании? Или то, что менеджмент Dropbox смог достаточно быстро справиться с ситуацией, предложив пользователям сменить пароли, наоборот, может помочь компании доказать, что она умеет справляться с трудностями? Так или иначе, то, что попадание данных пользователей в открытый доступ не проходит незамеченным (в том числе для инвесторов), — очевидно. Утечки всегда наказываются рублем, а иногда и сотнями миллионов долларов.

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+