ArsTechnicaは木曜日、人気コンテンツ配信ネットワーク(CDN)であるCloudflareにバグが発生したと報告しました。このバグにより、3,400のウェブサイトのユーザーデータが漏洩し、検索エンジンにキャッシュされました。ここ数ヶ月で影響を受けたサイトには、Uber、Fitbit、OK Cupidなどが含まれています。
このバグが特に深刻な被害をもたらしたのは、複数の要因が重なったためです。第一に、漏洩は発見の約5か月前、9月22日から発生していた可能性がありますが、最も大きな影響があったのは2月13日から2月18日でした。第二に、漏洩した機密性の高いデータの一部は、Googleなどの検索エンジンによってキャッシュされていました。その結果、バグがアクティブだった間中、ハッカーは影響を受けたウェブサイトにWebリクエストを送信することでリアルタイムでデータにアクセスでき、その後も検索エンジンでクエリを作成することで漏洩データの一部にアクセスできました。
1PasswordもCDNを利用していますが、アプリ開発元のAgileBitsは、エンドツーエンドの暗号化により顧客データの漏洩は防がれたと述べています。この漏洩は、Googleのセキュリティ研究者であるTavis Ormandy氏によって最初に発見されました。彼は、暗号化キー、Cookie、パスワード、POSTデータのチャンク、さらには他のユーザーからのCloudflareでホストされている主要なサイトへのHTTPSリクエストを観察しました。
Cloudflareがデータ侵害を認める
Cloudflare は侵入があったことを認めているが、誰かがそのバグを悪用したという証拠はないと主張している。
このバグは、漏洩したメモリに個人情報が含まれている可能性があり、検索エンジンによってキャッシュされていたため、深刻なものでした。また、このバグを悪用した悪意のある行為の証拠や、バグの存在に関する他の報告は発見されていません。
オーマンディ氏をはじめとするセキュリティ専門家は、同社が漏洩の深刻さを軽視していると考えている。オーマンディ氏はCloudflareのブログ投稿に対し、次のように回答した。
Cloudflareはようやくドラフトを送ってくれました。そこには素晴らしい事後分析が書かれていましたが、顧客へのリスクは著しく軽視されていました。
通知の内容について交渉するには遅すぎた。
ユーザーはパスワードを変更する必要があります
セキュリティ研究者のライアン・ラッキー氏(9to5Mac経由)は、パスワード情報が漏洩している可能性は低いものの、ユーザーは影響を受けるサービスのパスワードを変更するべきだと述べています。
Cloudflareのサービスは迅速にパッチを当ててこのバグを解消しましたが、それ以前から数ヶ月にわたり、データ漏洩は継続的に発生していました。このデータの一部はGoogleなどの検索エンジンに公開キャッシュされており、削除されています。その他のデータは、インターネット上の他のキャッシュやサービスに存在する可能性があります。
[…]
最も機密性の高い情報は認証情報と資格情報です。これらのデータが侵害されると、資格情報が失効・再発行されるまで、永続的な影響が続く可能性があります。 個人の観点から見ると、これは明白なことです。最も効果的な軽減策はパスワードを変更することです。
キャッシュされたデータが残っています
検索エンジンは、誰かが発表する前に、この侵害に関するキャッシュデータをすべて削除しようとしました。しかし、 ArsTechnicaは、一部のキャッシュデータが残っていると指摘しています。
Cloudflareの研究者は、メモリリークが発生し、Google、Bing、Yahoo!などの検索エンジンによってキャッシュされていた770件の固有のURIを特定しました。770件の固有のURIは、161の固有のドメインをカバーしていました。グラハム=カミングス氏は、木曜日の開示は、検索エンジンの協力を得て、漏洩したデータが完全に削除された後に行われたと述べています。しかし、このリンクやこのスレッドを含むソーシャルメディアのスレッドからもわかるように、Googleのキャッシュには、このバグによってデータが依然として露出していることが示されていました。
引き続きお知らせします。
