Allarme generale per Cloudbleed

Provo a fare il punto.



[ZEUS News - www.zeusnews.it - 27-02-2017]

cloudflare uber attachment

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Bug in Cloudflare, rivelati i dati sensibili di oltre 5 milioni di siti

C'è parecchio panico in Rete per una falla di sicurezza molto estesa che è stata battezzata Cloudbleed. Provo a riassumere qui le cose essenziali da sapere.

Se avete moltissima fretta

È possibile che le vostre password e alcuni vostri dati personali siano stati disseminati pubblicamente per mesi a causa di un errore tecnico della società Cloudflare, usata da molti dei più diffusi servizi di Internet. La falla è stata corretta, ma in Rete ne restano dei residui.

Vi conviene cambiare tutte le password dei servizi online che usate e sui quali non non avete già attivato la verifica in due passaggi (autenticazione a due fattori). Cogliete quest'occasione per attivarla. Se vi sembra una raccomandazione troppo drastica, leggete i dettagli qui sotto. Non dite che non siete stati avvisati.

Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi.

Le password di 1Password non sono state violate, dice AgileBits (che gestisce 1Password).

Se avete meno fretta


L'esperto di sicurezza Tavis Ormandy (del Project Zero di Google) ha scoperto a metà febbraio scorso una grave falla nel software usato dalla società Cloudflare, alla quale si appoggiano per la distribuzione e la protezione dei contenuti molti dei nomi più popolari di Internet, come Uber, OKCupid, 1Password.

Questa falla ha disseminato per mesi, rendendoli visibili a chiunque, "messaggi privati di importanti siti d'incontri, messaggi completi provenienti da un noto servizio di chat, dati di gestori online di password, fotogrammi da siti per adulti, prenotazioni di alberghi. Stiamo parlando di richieste https integrali, indirizzi IP dei client, risposte complete, cookie, password, chiavi, dati, tutto", ha scritto Ormandy, mostrando esempi come quello che ho incluso all'inizio di questo articolo e che riguarda Uber. Qui sotto ne vedete un altro, riferito a FitBit.


Cloudflare si è subito adoperata per risolvere il problema, che ora non si ripresenta più. La parte difficile è fare pulizia online dei dati disseminati in Rete, che sono reperibili nelle cache di Google e di altri motori di ricerca, anche se è in corso una purga a tappeto. Secondo Motherboard, questa purga non è stata completa, per cui è tuttora possibile trovare dati personali con un'apposita ricerca in Google.

Sondaggio
Qual Ŕ secondo te la peggiore invenzione della storia?
Le sigarette
I fast food
Le armi
Il nucleare
La Chiesa
La televisione
L'automobile
I telefoni cellulari
Gli autovelox

Mostra i risultati (7917 voti)
Leggi i commenti (35)

La spiegazione tecnica dettagliata di Cloudflare è qui. La spiegazione semplificata di Gizmodo è questa: "il software di Cloudflare cercava di salvare i dati degli utenti nel posto giusto, che però si riempiva completamente. Così il software finiva per salvare i dati altrove, per esempio in un sito completamente diverso... I dati sono finiti nella cache di Google e di altri siti, per cui Cloudflare deve cercarli tutti prima che li trovino i criminali informatici."

The Register riassume bene così: "a causa di un errore di programmazione, per vari mesi i sistemi di Cloudflare infilavano pezzi casuali di memoria dei server nelle pagine Web... visitando un sito Web gestito tramite Cloudflare poteva capitare di trovare pezzi del traffico Web di qualcun altro appiccicati in fondo alla pagina del browser... Immaginate di sedervi al ristorante, a quello che in teoria sarebbe un tavolo pulito, ma insieme al menu trovate anche il contenuto del portafogli del cliente precedente."

L'esatta portata del danno (quali e quanti siti supportati da Cloudflare hanno subìto emorragie di dati riservati) non è ancora nota, scrive Gizmodo citando l'azienda, ma i siti coinvolti sono almeno 150. Se volete sapere se i siti che usate adoperano i servizi di Cloudflare e quindi potrebbero essere a rischio, immettete i loro nomi in Doesitusecloudflare.com. Non risulta, al momento, che criminali informatici abbiano utilizzato i dati diffusi per errore.

Ulteriori dettagli sono (in inglese) su Ars Technica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Chromium sospende la sincronizzazione

Commenti all'articolo (3)

Certo che se i siti li proteggono in questo modo credo che anche arare la terra sia per loro un pochino troppo impegnativo... :roll:
4-3-2017 14:12

{stefy}
@fram: condivido. Per me cloudflare è una vergogna di Internet, e oltretutto confermo la loro inettitudine, vista la stupidità e l'arroganza dei loro captcha, che affliggono chi vuole solo navigare un sito "protetto" da loro. Spero che abbiano molte cause e vadano ad arare la terra, menstiere che almeno... Leggi tutto
27-2-2017 11:25

{fram}
Dal mio punto di vista è un fattore previsto: chissà quanti clienti perderà a causa del danno d'immagine, senza contare eventuali azioni legali nei suoi confronti. Quando navigo in Internet, mi trovo spesso questo "servizio" a chiedermi di riconoscere cartelli stradali, insegne di negozi e... Leggi tutto
25-2-2017 22:22

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Worm, virus, trojan horse, spyware, rootkit, dialer, hijacker. Chi li produce?
Smanettoni che vogliono provare la loro abilitÓ
Pirati informatici professionisti con lo scopo di trarne profitto
Gli stessi che poi fanno gli antivirus
Gruppi con finalitÓ politiche di destabilizzazione

Mostra i risultati (5250 voti)
Aprile 2021
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Robot assassini crescono
Tracker nelle app: cosa sta succedendo in Rete?
Recupero IVA: oltre il 50% non viene rivendicata
Quiz: sei in una zona senza copertura cellulare
Bitcoin, un dilemma etico
Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla
Personal killer robot
La “truffa alla nigeriana” è un classico. Del sedicesimo secolo
Hard disk a confronto con SSD nei data center
Tutti gli Arretrati
Accadde oggi - 14 aprile


web metrics