Slovenský úrad vlády je medzi možnými obeťami únikov dát zo známej cloudovej služby

Cloudfare, jedna z najznámejších cloudových platforiem, ohrozila tisíce webových stránok. Pre bezpečnostnú chybu unikali citlivé dáta používateľov. Hoci je už chyba odstránená, problémom zostávajú pamäte internetových vyhľadávačov.

Spoločnosť Cloudflare, ktorá prevádzkuje bezpečnostné a hostingové služby miliónom webstránok, minulý týždeň oznámila, že bezpečnostná chyba spôsobila náhodný únik citlivých dát.

Vadu síce výskumníci spoločnosti Google odhalili až 17. februára 2017, no dáta mohli týmto spôsobom unikať už v septembri 2016. Na chybu upozornil Tavis Ormandy, podľa ktorého umožňovala vystopovať aj heslá, informácie zadané do formulárov, súkromné správy a ďalšie dáta. Vo väčšine prípadov chyba postihla stránky s malou návštevnosťou, niektoré zdroje však uvádzajú aj veľké portály.

Presný zoznam postihnutých stránok zatiaľ nie je známy, ale na portáloch Reddit alebo Github sa spomínajú sa aj Uber, PasteBin, 4chan, Change.org a aj pravdepodobne najznámejšia pirátska stránka The Pirate Bay. Zo slovenských stránok sa spomína približne 1200 domén. Medzi najznámejšie patria webnoviny.sk, aktualne.sk, pluska.sk, atlas.sk, sector.sk  či portál Úradu vlády Slovenskej republiky (vlada.sk).

Bezpečnostnú dieru v tomto prípade predstavoval parser (časť programu, ktorá má na starosti tzv. parsing – syntaktickú analýzu textu), ktorý nemohol rozoznať koniec textu alebo stránky. Preto sa používateľom mohli zobraziť aj detaily, ku ktorým nemali mať prístup. Detailný opis problému na svojom blogu zverejnila samotná firma.

V Cloudflare používali vlastný parser napísaný v jazyku Ragel. Pred časom ho však pre zložitosť zmenili a začali vyvíjať nový. Práve ten však aktivoval chybu, ktorá bola v samotnom kóde niekoľko rokov, ale prejavila sa až po zavedení nového parseru. Chyba sa tak podobá na tú, ktorou trpelo OpenSSL zabezpečenie v roku 2014 – Heartbleed.

Dobrou správou je, že Cloudflare zakročil rýchlo. Prvá oprava prišla necelú hodinu po nahlásení problému. Po siedmich hodinách chybu odstránili zo všetkých serverov. Problémom však zostávajú napríklad pamäte internetových vyhľadávačov, ktoré majú uložené ešte staré verzie stránok aj s touto chybou.

(FB)