Nos últimos meses, um bug no popular serviço Cloudflare pode ter exposto dados confidenciais do usuário – incluindo nomes de usuário, senhas e mensagens privadas – para o mundo em texto simples. Mas quão grande é esse problema e o que você deve fazer?
Índice
O que é Cloudflare?
Cloudflare é um serviço que oferece recursos de segurança e desempenho (entre outras coisas) para uma ampla rede de sites. Ele atua como um proxy reverso , um intermediário entre você – o usuário – e um determinado site. Ao visitar esse site, você será direcionado para um dos servidores da Cloudflare em vez dos servidores do site real.
Isso permite que o Cloudflare garanta que você é um usuário legítimo (protegendo assim contra ataques de negação de serviço ), carregue o site mais rápido (já que eles armazenaram em cache certas partes do site) e se protegem contra o tempo de inatividade (já que têm vários servidores em todo o mundo pode recorrer a qualquer servidor se houver um problema).
Resumindo: o Cloudflare visa tornar os sites mais rápidos e seguros, e é um serviço que muitos sites usam.
O que aconteceu? (E o que é “Cloudbleed?”)
Infelizmente, nada é 100% seguro, mesmo se um site usar um serviço como o Cloudflare e ocorrerem bugs. Nesse caso, o Cloudflare realmente causou um problema de segurança: um bug no código do proxy reverso que analisa HTML fez com que os servidores do Cloudflare vazassem o conteúdo de sua memória em certas circunstâncias. (Algumas pessoas estão se referindo a isso como “Cloudbleed”, uma brincadeira com o bug Heartbleed que também afetou uma grande parte da Internet.)
Esses dados podem ter incluído todos os tipos de dados confidenciais, incluindo nomes de usuário, senhas, mensagens privadas, tokens OAuth e muito mais. Pior ainda, alguns desses dados foram indexados e armazenados em cache por alguns mecanismos de pesquisa (cerca de 700 páginas, de acordo com a Cloudflare), então, se você soubesse o que pesquisar no Google, poderia encontrar dados confidenciais de usuários que efetuam login no momento de um determinado vazamento.
Este bug não foi descoberto por cerca de cinco meses e foi corrigido após ser descoberto esta semana. Cloudflare afirma que “o maior período de impacto foi de 13 a 18 de fevereiro, com cerca de 1 em cada 3.300.000 solicitações HTTP por meio do Cloudflare, potencialmente resultando em vazamento de memória (ou seja, cerca de 0,00003% das solicitações).”
Mas com um serviço tão popular como o Cloudflare, 0,00003% ainda é muito. Algumas pessoas estão compilando uma lista de sites que usam Cloudflare , e ela inclui mais de 4 milhões de domínios – incluindo Yelp, OkCupid, Uber, Authy, Medium e muitos outros. ( Alguns aplicativos móveis também são afetados .)
Você pode ler mais sobre os detalhes técnicos desse bug no blog do Cloudflare , embora provavelmente só interesse a você se você for um programador – se você for um usuário regular da Internet, a única coisa que você precisa saber é …
O que devo fazer?
Primeiro: não entre em pânico demais. Nem todo site nessa lista de 4 milhões necessariamente vazou informações confidenciais – se um site estivesse apenas usando o Cloudflare para armazenar dados de imagem em cache, por exemplo, não haveria informações confidenciais para vazar. E não é como se cada vazamento fosse uma lista mestra de senhas – eram informações aleatórias, que poderiam incluir alguns nomes de usuário e senhas aleatórios a qualquer momento.
No entanto, a Cloudflare também observou que uma de suas próprias chaves privadas vazou, o que teria fornecido a um invasor acesso a muitos dados internos do Cloudflare – incluindo, potencialmente, nomes de usuário e senhas. O Cloudflare foi extremamente vago sobre este ponto específico, apesar de ser um grande risco de segurança com potencial para vazar muito mais informações confidenciais
Dito isso, não há uma maneira real de saber se algum de seus dados vazou e onde, então a única ação segura agora é alterar todas as suas senhas . (Claro, você poderia olhar a lista de 4 milhões de sites e alterar apenas aqueles usados pelo Cloudflare, mas honestamente, provavelmente seria mais fácil e rápido apenas alterar todos eles.)
As regras usuais com senhas se aplicam aqui: não use a mesma senha em vários sites , use um gerenciador de senhas como o LastPass e ative a autenticação de dois fatores para cada site que permitir. Se você não está fazendo essas coisas, o bug do Cloudflare é provavelmente a menor de suas preocupações – afinal, sites são invadidos o tempo todo e, se você usa a mesma senha em todos os lugares, todos os seus dados estão regularmente em risco.
Se você já estiver usando um gerenciador de senhas, esse processo deve ser fácil (embora um pouco longo e enfadonho). Mas você já deve estar acostumado com essa dança.