Illés
15 °C
35 °C

Nyakunkon a legújabb adatvédelmi katasztrófa

2017.02.25. 17:15

Egyetlen elgépelt karakter okozta a Cloudbleed nevű programhibát, amit szakértők máris az elmúlt évek egyik legsúlyosabb internetes adatbiztonsági katasztrófájának neveznek. Egy programozó "=="-t írt a kódba ">=" helyett, ami ahhoz vezetett, hogy a szoftvere időnként, ha adatokat akart menteni, és elfogyott a helye, olyan memóriacímekre írta ki azokat, amik egyáltalán nem biztonságosak. A gond az, hogy ez a szoftver a Cloudflare cég egyik rendszerét működtette, ez a cég pedig az egész internet egyik legtöbbet foglalkoztatott biztonsági, webhosting, és DNS-szolgáltatásokat nyújtó cége. A Cloudbleed hiba folytán több ezer weboldalról szivároghattak ki érzékeny adatok. A nyomozás jelen állása szerint tavaly ősszel bukkant fel a hiba a rendszerben, és ugyan most, a felfedezése után nem sokkal már javították is, a kár már megtörtént.

Csak azt nem tudja egyelőre senki, milyen oldalak voltak érintettek, kihasználták-e hekkerek a hibát, és pontosan milyen adatok kerültek nyilvánosságra. A lehetőség mindenesetre hónapokon keresztül megvolt a potenciálisan érzékeny adatok begyűjtésére.

A Cloudflare az adatszivárgás nagyságrendjét érzékeltetve annyit mondott, hogy a rendszerén keresztül futó HTTP-adatkéréseknél (vagyis a webes oldalletöltéseknél) kb. minden 3 millióból egy esetben történhetett memóriaszivárgás. De hogy ilyenkor jelszavak, személyes információk, vagy teljesen érdektelen adatok kerültek publikusan elérhető felületre, azt utólag már nem lehet rekonstruálni. Mindenesetre a Google cache szolgáltatása több esetben megőrizte a szivárgások nyomát.

A Cloudflare megoldásait rengeteg cég használja, ügyfelük többek között az Uber, az egyik legnagyobb online randioldal OKCupid, a Fitbit, de a New York-i tőzsde technológiai részlege, a Nasdaq is. A Githubon megjelent egy lista weboldalak és online szolgáltatások címeivel, amelyek elméletileg érintettek lehetnek valamilyen szinten az adatszivárgásban. A Cludflare ezt egyelőre nem erősítette meg, de azt nyilatkozták, hogy ezres nagyságrendű az érintett oldalak száma.