Система доставки контента Cloudflare подтвердила наличие ошибки, из-за которой поисковые системы кэшировали конфиденциальные пользовательские данные из ряда известных приложений и веб-сайтов. Исследователь Google Тавис Орманди обнаружил и сообщил об этой ошибке в Cloudflare, после чего компания исправила ее и опубликовала подробный пост в блоге с точным описанием произошедшего.

По данным Cloudflare, период наибольшего воздействия «ошибки парсера» пришелся на период с 13 по 18 февраля, хотя утечка данных растянулась на несколько месяцев. Суть проблемы заключалась в уязвимости серверов Cloudflare, которые возвращали поврежденные веб-страницы при некоторых HTTP-запросах, выполняющихся в большой сети Cloudflare.

В «некоторых необычных обстоятельствах», как назвала это компания, иногда возвращалась и частная информация, включая «HTTP-куки, токены аутентификации, тела HTTP POST-запросов и другие конфиденциальные данные».

Оказалось, что при некоторых необычных обстоятельствах, которые я подробно опишу ниже, наши серверы выходили за пределы буфера и возвращали память, содержащую частную информацию, такую как HTTP-куки, токены аутентификации, тела HTTP POST-запросов и другие конфиденциальные данные. И часть этих данных была закэширована поисковыми системами.

Ошибка была серьезной, поскольку утекшая память могла содержать частную информацию и потому, что она была закэширована поисковыми системами. Мы также не обнаружили никаких доказательств злонамеренного использования этой ошибки или других сообщений о ее существовании.

Как сообщил Орманди на этой неделе в своем твите, эти данные также включали частные сообщения с сайта знакомств OKCupid, полные сообщения из «известного чат-сервиса», пароли из приложений для управления паролями, таких как 1Password, и многое другое (через Fortune). В ответ некоторые компании — например, 1Password — опубликовали в блогах посты с подтверждением того, что «никакие данные 1Password не были под угрозой из-за ошибки, о которой сообщалось в CloudFlare».

Чтобы ускорить решение проблемы, Cloudflare отреагировала на обнаружение Орманди и отключила три второстепенные функции сети — маскировку электронной почты, Server-side Excludes и Automatic HTTPS Rewrites — которые, как было обнаружено, использовали ту же цепочку парсинга HTML, «что и вызывало утечку».

В своем посте в блоге компания сообщила, что не «обнаружила никаких доказательств злонамеренного использования» в связи с периодом активности ошибки парсера. Она также отметила, что, несмотря на серьезность, масштаб ошибки был относительно невелик: примерно 1 из каждых 3 300 000 HTTP-запросов через Cloudflare потенциально приводил к утечке памяти. «Это примерно 0,00003% запросов», — отметили в компании.

Cloudflare сотрудничала с затронутыми поисковыми системами, включая Google, Yahoo и Bing, чтобы удалить любые остатки конфиденциальных данных из их кэшей. Главный технический директор компании Джон Грэм-Камминг заключил пост в блоге словами: «Мы очень благодарны нашим коллегам из Google за то, что они связались с нами по поводу проблемы и тесно сотрудничали с нами в ее решении. Все это произошло без каких-либо сообщений о том, что сторонние лица выявили проблему или использовали ее».

Ранее на этой неделе было сообщено, что Apple разорвала отношения с поставщиком серверов Super Micro Computer, чтобы избежать потенциального будущего сценария, при котором пользовательские данные могут оказаться под угрозой, аналогично утечке Cloudflare. В начале 2016 года Apple обнаружила потенциальную уязвимость безопасности в одном из серверов центров обработки данных Super Micro Computer и вскоре после этого фактически прекратила деловые отношения с сетевой компанией.

Для технического анализа ошибки парсера Cloudflare и ее причин ознакомьтесь с постом в блоге компании.