Wyciek danych z prawie 5 mln domen. W tym z polskich serwisów

Wyciek danych z prawie 5 mln domen. W tym z polskich serwisów24.02.2017 16:43
Źródło zdjęć: © Fotolia | jamdesign

Ogromny wyciek wrażliwych danych – haseł, kluczy, a nawet prywatnych wiadomości, ze stron korzystających z usług CloudFlare, odkrył Travis Ormandy z Google. Pośród danych znalazły się również hasła i loginy z polskich serwisów.

Informacja o wycieku danych z CloudFlare pojawiła się chwilę po północy na Twitterze Travisa Ormandy. Okazało się, że lakoniczna prośba o kontakt z jakimkolwiek pracownikiem ds. bezpieczeństwa z CloudFlare jest dosłownie czubkiem góry lodowej. Okazuje się bowiem, że z usług, które zaliczyły tak poważny wyciek korzysta w sumie ponad 5,5 mln serwisów internetowych – w tym tacy giganci, jak chociażby Uber.

Wyciek również dotknął polskie serwisy. Wśród stron kończących się na .pl znalazły się między innymi: antyweb.pl, cda.pl, chomikuj.pl, demotywatory.pl, fotka.pl, kwejk.pl, peb.pl, sadistic.pl, trojmiasto.pl.

Jednak to nie wszystkie serwisy z Polski, które zaliczyły wyciek danych. Plik tekstowy (waży ponad 70 MB!) z pełną lista usług objętych wyciekiem znajdziecie tutaj. Na liście zagrożonych znalazł się także serwis GoldenLine, ale, jak zapewniają jego przedstawieciele:
"W wyniku przeprowadzonej dodatkowej kontroli możemy potwierdzić, że nie używamy tych usług Cloudflare, które były narażone na błąd pod nazwą "Cloudbleed". Oznacza to, że wrażliwe dane naszych użytkowników nie mogły ulec udostępnieniu osobom trzecim".

Dobra wiadomość jest taka, że użytkownicy serwisów Grupy WP są bezpieczni.

Błąd, który odpowiadał za wyciek danych został odkryty w jednej z nowych usług dostarczanych przez CloudFlare. Okazało się, że nowe narzędzie w trakcie przesyłania stron internetowych wplatało elementy innych transmisji. Właśnie tam trafiały hasła użytkowników, czy adresy IP. Ale to nie wszystko co mogły zindeksować przeglądarki, jak Google czy Bing. W treści transmisji znalazły się nawet fragmenty prywatnych rozmów z serwisów randkowych. O wycieku, jako pierwszy w Polsce poinformował serwis Niebezpiecznik.pl, na którym znajdziecie dokładny opis i schemat całego wycieku.

Błąd związany z usługami CloudFlare pojawił się już 22 września 2006, jednak historia jego odkrycia zaczyna się dopiero 17 lutego 2017r. Właśnie wtedy zakończyła się trwająca cztery dni największa „sesja” z wyciekiem. Między 13 a 17 lutego do sieci trafiły dane ponad 3,3 mln użytkowników. W tym czasie do sieci trafiły takie dane, jak:

  • • klucze szyfrujące i klucze API
  • • ciasteczka
  • • hasła
  • • adresy IP użytkowników
  • • tokeny OAuth
  • • parametry URI
  • • fragmenty żądań POST zawierające np.:
  • • prywatne wiadomości z serwisów randkowych
  • • żądania API z managerów haseł przesłane przez HTTPS
  • • stopklatki z filmów pornograficznych
  • • potwierdzenia rezerwacji hoteli

Wyciek danych CloudFlare – jak się zabezpieczyć?

Ja zaznacza serwis Niebezpiecznik.pl każdy z nas mógł stać się ofiara ataku – wystarczy, że kiedykolwiek korzystał z któregokolwiek z setek tysięcy serwisów korzystających z usług ClouFlare, co ciekawe nie musiał tego robić przy pomocy przeglądarki stron www, a aplikacji mobilnej. Aby zabezpieczyć się przed kłopotami, pamiętajcie, żeby w pierwszej kolejności zmienić hasła dostępu. Pamiętajcie również o tym, by mieć różne hasła do różnych usług sieciowych, w przeciwieństwie do większości użytkowników internetu. Tutaj znajdziecie wskazówki, jak przygotować swoje hasło.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA