Оценка безопасности от охранника Джима: Проблемы безопасности сервиса Cloudflare.

Safety Jim PSA

Перед тем, как вы начнете читать данное объявление, большая просьба:
Смените ваш пароль в Discord. И в Patreon, Yelp, Authy… во всех сервисах, где используется Cloudflare.

Так или иначе, извините, что беспокоим вас, но Охранник Джим должен держать вас в курсе происходящего, ведь Интернет может быть страшным местом.

Существует небольшая вероятность того, что из-за ошибки в Cloudflare, одного из наших поставщиков услуг, в сеть просочились некоторые данные Discord, включая пароли. К сожалению, данная проблема задела большое количество компаний, которые используют Cloudflare, чтобы оградить вас от плохих парней.

Cloudflare раскрыли информацию о том, что исправили баг, обнаруженный Google Project Zero, который крайне редко высылал деликатную информацию в ответ на случайные запросы (0,00003% от всех запросов), начиная с сентября 2016 года. Баг невозможно было использовать для получения конкретной информации, вся утерянная информация была случайной.

Для тех, кто не знает: Cloudflare работает, как обратный прокси, защищающий сайт от злонамеренных атак, таких как DDoS. Discord и множество других сайтов стали жертвами этой уязвимости. Полный список сайтов, использующих Cloudflare, вы можете найти здесь: https://github.com/pirate/sites-using-cloudflare .

Вероятность того, что ваши данные с любого из этих сайтов просочились в сеть очень мала, но мы настоятельно рекомендуем поменять свой пароль в Discord и на других сайтах, использующих Cloudflare. Если вы что-то разрабатываете, используя API любого из перечисленных сайтов, мы также рекомендуем сбросить ваш ключ API.

В настоящее время, мы не думаем, что принудительный сброс паролей в Discord необходим, поскольку вероятность того, что данная утечка будет иметь какое-либо значение слишком мала, однако мы продолжаем оценивать ситуацию, ожидая от Cloudflare полного отчета о произошедшем и влиянии на Discord.

Если вы забыли, как сменить пароль.

Будьте осторожны в Интернете!


Обновление от 24 февраля 2017 года: после того, как пыль немного осела, выяснилось, что Reddit не подвергся влиянию бага. Кроме того, Medium не сохраняет пароли, поэтому их пользователи не могли сбросить свою информацию (несмотря на это, их токены аутентификации все еще могут быть под угрозой).

Переведено группой: vk.com/discord_ru