Cloudbleed: vad du behöver veta och vad du behöver göra

Innehållsförteckning:

Vad ska jag göra
Ändra lösenordet för alla dina onlinekonton
Aktivera tvåfaktorautentisering på varje konto som har det tillgängligt som ett alternativ

Den 17 februari 2017 snubblade sårbarhetsforskare från Googles Project Zero Tavis Ormandy över det som såg ut som en riktigt otäck dataläckage från Cloudflare, ett webbprestanda och säkerhetsföretag. Han kontaktade snabbt de "rätta" människorna på Cloudflare och situationen hanterades på mindre än en timme.

Alla dataöverträdelser kan vara betydande. Särskilt när en tjänst har över en miljard användare. Vi kommer att rikta dig till Cloudflare-incidentrapporten för fullständig information om vad som hände (varning: det är ganska tekniskt). Enligt lekmannens termer läckte data som var potentiellt känsliga. Den här informationen var tillgänglig för alla, även webbspindlar som används av sökmotorer. SSL-nycklar läcktes inte.

Cloudflare-funktionerna som använde den påverkade HTML-parsaren (e-obfuskering, server-sida-uteslutningar och automatiska HTTPS-omskrivningar) användes av många företag. Troligtvis företag som du har onlinekonton med. Det betyder att dina data kan ha blivit exponerade.

Mobile Nations använder några av Cloudflares tjänster. I själva verket hittar du oss på listan som flyter runt på webbplatser som kan drabbas. Vi har verifierat att de berörda tjänsterna inte används eller att de någonsin har använts på några Mobile Nations-webbplatser.

Efter utredningen har funktionerna bakom #Cloudbleed (E-postförstörning, SSE, HTTPS-omskrivningar) aldrig varit aktiva på @MobileNations-webbplatser
- Marcus Adolfsson (@madolfsson) 24 februari 2017

Vi fick också meddelande från Cloudflare om läckan och de hade detta att säga:

Din domän är inte en av domänerna där vi har upptäckt exponerad data i någon cacheminne från tredje part. Buggen har korrigerats så att det inte längre läcker data. Vi fortsätter dock att arbeta med dessa cachar för att granska deras register och hjälpa dem att rensa alla exponerade data vi hittar. Om vi upptäcker data som läckt ut om dina domäner under denna sökning, kommer vi att kontakta dig direkt och ge dig fullständig information om vad vi har hittat.

Leta efter ett liknande uttalande från andra platser som du har ett konto med för information om dina data som kan ha blivit exponerade.

Vad ska jag göra

Liksom de flesta stora säkerhetsfall kommer vi aldrig att veta fullständiga detaljer om vad som var och inte läckte ut. Vi kan bekräfta att vi inte använder de tjänster som nämnts som sårbara, men vi vet inte hur något annat på Cloudflares servrar kan ha påverkats. Varje Cloudflare-kund är i samma båt.

Det betyder att det är dags för dig att bli proaktiv.

Ändra lösenordet för alla dina onlinekonton

Ja, det här suger, men vet vad som suger mer? Att ha någon att få dina detaljer och ha tillgång till saker du inte vill att de ska ha tillgång till. Använd en lösenordshanterare och låt det skapa galna lösenord och kom ihåg dem åt dig om du inte har din egen lösenordshanteringsrutin. Om du inte har använt ett lösenordshanterare tidigare men ville kolla in det, är det nu en perfekt tid.

Mer: Bästa lösenordshanterare för Android

Nu är det också en bra tid att komma ihåg att du bör byta lösenord regelbundet, vilket gör en lösenordshanterare ett måste om du har många konton.

Aktivera tvåfaktorautentisering på varje konto som har det tillgängligt som ett alternativ

Om du har aktiverat tvåfaktorautentisering kan någon annan med dina inloggningsuppgifter fortfarande inte komma åt ditt konto. Tvåfaktorsautentisering kan också vara en smärta i rumpan ibland, men det är det bästa sättet att skydda dig själv när ett big data-intrång inträffar, som det vi ser nu.

Här är några resurser för tvåfaktorautentisering.