Allarme generale per Cloudbleed

Provo a fare il punto.



[ZEUS News - www.zeusnews.it - 27-02-2017]

cloudflare uber attachment

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Bug in Cloudflare, rivelati i dati sensibili di oltre 5 milioni di siti

C'è parecchio panico in Rete per una falla di sicurezza molto estesa che è stata battezzata Cloudbleed. Provo a riassumere qui le cose essenziali da sapere.

Se avete moltissima fretta

È possibile che le vostre password e alcuni vostri dati personali siano stati disseminati pubblicamente per mesi a causa di un errore tecnico della società Cloudflare, usata da molti dei più diffusi servizi di Internet. La falla è stata corretta, ma in Rete ne restano dei residui.

Vi conviene cambiare tutte le password dei servizi online che usate e sui quali non non avete già attivato la verifica in due passaggi (autenticazione a due fattori). Cogliete quest'occasione per attivarla. Se vi sembra una raccomandazione troppo drastica, leggete i dettagli qui sotto. Non dite che non siete stati avvisati.

Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi.

Le password di 1Password non sono state violate, dice AgileBits (che gestisce 1Password).

Se avete meno fretta


L'esperto di sicurezza Tavis Ormandy (del Project Zero di Google) ha scoperto a metà febbraio scorso una grave falla nel software usato dalla società Cloudflare, alla quale si appoggiano per la distribuzione e la protezione dei contenuti molti dei nomi più popolari di Internet, come Uber, OKCupid, 1Password.

Questa falla ha disseminato per mesi, rendendoli visibili a chiunque, "messaggi privati di importanti siti d'incontri, messaggi completi provenienti da un noto servizio di chat, dati di gestori online di password, fotogrammi da siti per adulti, prenotazioni di alberghi. Stiamo parlando di richieste https integrali, indirizzi IP dei client, risposte complete, cookie, password, chiavi, dati, tutto", ha scritto Ormandy, mostrando esempi come quello che ho incluso all'inizio di questo articolo e che riguarda Uber. Qui sotto ne vedete un altro, riferito a FitBit.


Cloudflare si è subito adoperata per risolvere il problema, che ora non si ripresenta più. La parte difficile è fare pulizia online dei dati disseminati in Rete, che sono reperibili nelle cache di Google e di altri motori di ricerca, anche se è in corso una purga a tappeto. Secondo Motherboard, questa purga non è stata completa, per cui è tuttora possibile trovare dati personali con un'apposita ricerca in Google.

Sondaggio
Qual Ŕ secondo te la peggiore invenzione della storia?
Le sigarette
I fast food
Le armi
Il nucleare
La Chiesa
La televisione
L'automobile
I telefoni cellulari
Gli autovelox

Mostra i risultati (8001 voti)
Leggi i commenti (35)

La spiegazione tecnica dettagliata di Cloudflare è qui. La spiegazione semplificata di Gizmodo è questa: "il software di Cloudflare cercava di salvare i dati degli utenti nel posto giusto, che però si riempiva completamente. Così il software finiva per salvare i dati altrove, per esempio in un sito completamente diverso... I dati sono finiti nella cache di Google e di altri siti, per cui Cloudflare deve cercarli tutti prima che li trovino i criminali informatici."

The Register riassume bene così: "a causa di un errore di programmazione, per vari mesi i sistemi di Cloudflare infilavano pezzi casuali di memoria dei server nelle pagine Web... visitando un sito Web gestito tramite Cloudflare poteva capitare di trovare pezzi del traffico Web di qualcun altro appiccicati in fondo alla pagina del browser... Immaginate di sedervi al ristorante, a quello che in teoria sarebbe un tavolo pulito, ma insieme al menu trovate anche il contenuto del portafogli del cliente precedente."

L'esatta portata del danno (quali e quanti siti supportati da Cloudflare hanno subìto emorragie di dati riservati) non è ancora nota, scrive Gizmodo citando l'azienda, ma i siti coinvolti sono almeno 150. Se volete sapere se i siti che usate adoperano i servizi di Cloudflare e quindi potrebbero essere a rischio, immettete i loro nomi in Doesitusecloudflare.com. Non risulta, al momento, che criminali informatici abbiano utilizzato i dati diffusi per errore.

Ulteriori dettagli sono (in inglese) su Ars Technica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Chromium sospende la sincronizzazione

Commenti all'articolo (3)

Certo che se i siti li proteggono in questo modo credo che anche arare la terra sia per loro un pochino troppo impegnativo... :roll:
4-3-2017 14:12

{stefy}
@fram: condivido. Per me cloudflare è una vergogna di Internet, e oltretutto confermo la loro inettitudine, vista la stupidità e l'arroganza dei loro captcha, che affliggono chi vuole solo navigare un sito "protetto" da loro. Spero che abbiano molte cause e vadano ad arare la terra, menstiere che almeno... Leggi tutto
27-2-2017 11:25

{fram}
Dal mio punto di vista è un fattore previsto: chissà quanti clienti perderà a causa del danno d'immagine, senza contare eventuali azioni legali nei suoi confronti. Quando navigo in Internet, mi trovo spesso questo "servizio" a chiedermi di riconoscere cartelli stradali, insegne di negozi e... Leggi tutto
25-2-2017 22:22

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Stai creando un nuovo account su un sito. Come sarÓ la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1606 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 6 dicembre


web metrics