В Cloudflare рассказали, как обнаружили и устранили утечку личных данных пользователей сайтов её клиентов

Системой сервисов распределённого хранения контента от Cloudflare пользуются более 5 млн сайтов. Представители компании-разработчика рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Стоит обратить внимание, что в них входят пароли, куки-файлы и аутентификационные токены в незашифрованном виде.

Часть информации успела попасть в кеш поисковых систем, поэтому представители Cloudflare уже обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.

Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, пишет vc.ru. Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.

Джон Грэхем-Камминг, технический директор компании Cloudflare, подчёркнул, что в компании не нашли подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.