Cloudflare क्या है, और क्या यह वास्तव में इंटरनेट पर मेरा डेटा लीक करता है?
पिछले कुछ महीनों में, लोकप्रिय Cloudflare सेवा में बग ने संवेदनशील उपयोगकर्ता डेटा-सहित उपयोगकर्ता नाम, पासवर्ड और निजी संदेश-सहित दुनिया को सादे पाठ में उजागर किया हो सकता है। लेकिन यह समस्या कितनी बड़ी है, और आपको क्या करना चाहिए?
Cloudflare क्या है?
क्लाउडफ्लेयर एक ऐसी सेवा है जो वेबसाइटों के व्यापक नेटवर्क के लिए सुरक्षा और प्रदर्शन सुविधाएँ (अन्य चीजों के बीच) प्रदान करती है। यह एक रिवर्स प्रॉक्सी के रूप में कार्य करता है, जो आपके-उपयोगकर्ता और दी गई वेबसाइट के बीच का बिचौलिया है। जब आप उस साइट पर जाते हैं, तो आपको वास्तविक साइट के सर्वरों के बजाय क्लाउडफेयर के सर्वरों में से एक के लिए निर्देशित किया जाएगा.
यह Cloudflare को यह सुनिश्चित करने की अनुमति देता है कि आप एक वैध उपयोगकर्ता हैं (इस प्रकार सेवा हमलों से इनकार करते हैं), साइट को तेज़ी से लोड करें (क्योंकि उन्होंने साइट के कुछ हिस्सों को कैश किया है), और डाउनटाइम से बचाव करें (क्योंकि उनके पास दुनिया भर में कई सर्वर हैं और) अगर किसी को कोई समस्या है तो वह किसी भी सर्वर पर वापस आ सकता है).
Cloudflare DDoS हमलावरों को वास्तविक वेबसाइट के माध्यम से अपना ट्रैफ़िक प्राप्त नहीं करना सुनिश्चित करता है.संक्षेप में: क्लाउडफ़्लेयर का उद्देश्य साइटों को अधिक तेज़ और अधिक सुरक्षित बनाना है, और यह एक ऐसी सेवा है जिसका बहुत अधिक वेबसाइट उपयोग करती है.
क्या हुआ? (और क्या "बादल छाए हुए हैं?")
दुर्भाग्य से, कुछ भी 100% सुरक्षित नहीं है, भले ही कोई साइट Cloudflare जैसी सेवा का उपयोग करती हो, और बग्स होते हैं। इस मामले में, वास्तव में Cloudflare वजह एक सुरक्षा समस्या: HTML को पार्स करने वाले रिवर्स प्रॉक्सी कोड में एक बग क्लाउडफ़्लारे के सर्वर को कुछ परिस्थितियों में इसकी मेमोरी की सामग्री को लीक करने का कारण बना। (कुछ लोग इसे "क्लाउडब्लेड" के रूप में संदर्भित कर रहे हैं, हार्टलेड बग का एक नाटक जो इंटरनेट के एक बड़े हिस्से को भी प्रभावित करता है।)
इस डेटा में उपयोगकर्ता नाम, पासवर्ड, निजी संदेश, OAuth टोकन, और बहुत कुछ सहित सभी प्रकार के संवेदनशील डेटा शामिल हो सकते हैं। इससे भी बदतर, कुछ डेटा को कुछ सर्च इंजन (क्लाउडफ्लेयर के अनुसार लगभग 700 पृष्ठों) द्वारा अनुक्रमित और कैश किया गया था, इसलिए यदि आप जानते थे कि Google पर क्या खोजना है, तो आप किसी विशिष्ट समय में लॉगिंग करने वाले उपयोगकर्ताओं से संवेदनशील डेटा प्राप्त कर सकते हैं रिसाव.
यदि आप जानते हैं कि क्या खोजना है, तो आप खोज इंजन पर क्लाउडफ़ेयर की कुछ लीक हुई जानकारी पा सकते हैं.यह बग लगभग पाँच महीने तक अनदेखा रहा, और इस हफ्ते खोजे जाने के बाद पैच कर दिया गया। Cloudflare का कहना है कि "प्रभाव की सबसे बड़ी अवधि 13 फरवरी और 18 फरवरी से थी, जिसमें लगभग हर 3,300,000 HTTP अनुरोधों में Cloudflare के माध्यम से 1 के साथ संभावित रूप से मेमोरी लीकेज (यह लगभग 0.00003% अनुरोध) है।"
लेकिन Cloudflare के रूप में लोकप्रिय एक सेवा के साथ, 0.00003% अभी भी बहुत कुछ है। कुछ लोग क्लाउडफ़ेयर का उपयोग करने वाली साइटों की एक सूची तैयार कर रहे हैं, और इसमें 4 मिलियन से अधिक डोमेन शामिल हैं-जिनमें येल्प, ओकेक्यूपिड, उबेर, ऑटिह, मीडियम और कई और अधिक शामिल हैं। (कुछ मोबाइल एप्लिकेशन भी प्रभावित होते हैं।)
आप क्लाउडफेयर के ब्लॉग पर इस बग के तकनीकी विवरणों के बारे में अधिक पढ़ सकते हैं, हालांकि यह शायद केवल आपकी रुचि होगी यदि आप एक प्रोग्रामर हैं-यदि आप एक नियमित इंटरनेट उपयोगकर्ता हैं, तो केवल एक चीज जिसे आप जानना चाहते हैं ...
मुझे क्या करना चाहिए?
पहला: बहुत ज्यादा घबराओ मत। 4 मिलियन की उस सूची की प्रत्येक साइट पर आवश्यक रूप से संवेदनशील जानकारी लीक नहीं हुई है-यदि कोई साइट सिर्फ क्लाउडफ्लारे का उपयोग छवि डेटा को कैश करने के लिए कर रही है, उदाहरण के लिए, रिसाव के लिए कोई संवेदनशील जानकारी नहीं होगी। और ऐसा नहीं है कि प्रत्येक रिसाव वैसे भी पासवर्डों की एक मास्टर सूची थी-यह जानकारी के यादृच्छिक टुकड़े थे, जो सकता है किसी भी समय कुछ यादृच्छिक उपयोगकर्ता नाम और पासवर्ड शामिल किए गए हैं.
हालांकि, क्लाउडफ्लेयर ने यह भी उल्लेख किया कि उनकी अपनी निजी चाबियों में से एक लीक हुई थी, जो कि हमलावरों को आंतरिक क्लाउडफेयर डेटा-सहित, संभावित, उपयोगकर्ता नाम और पासवर्ड तक पहुंच प्रदान कर सकती थी। इस विशेष बिंदु के बारे में क्लाउडफ्लेयर बेहद अस्पष्ट था, इसके बावजूद यह बहुत अधिक संवेदनशील जानकारी को लीक करने की क्षमता के साथ एक बड़ा सुरक्षा जोखिम है
उस सभी ने कहा, यह बताने का कोई वास्तविक तरीका नहीं है कि क्या आपका कोई डेटा लीक हुआ था और कहां है, इसलिए कार्रवाई का एकमात्र सुरक्षित कोर्स अभी के लिए है अपने सभी पासवर्ड बदलें. (निश्चित रूप से, आप 4 मिलियन साइटों की सूची देख सकते हैं और केवल क्लाउडफ़ेयर द्वारा उपयोग किए जाने वाले बदलावों को बदल सकते हैं, लेकिन ईमानदारी से, यह शायद उन सभी को बदलने के लिए आसान और तेज़ होगा।)
पासवर्ड के साथ सामान्य नियम यहां लागू होते हैं: कई साइटों पर एक ही पासवर्ड का उपयोग न करें, लास्टपास जैसे पासवर्ड मैनेजर का उपयोग करें और हर साइट के लिए दो-कारक प्रमाणीकरण चालू करें जो इसे अनुमति देता है। यदि आप इन चीजों को नहीं कर रहे हैं, तो क्लाउडफेयर बग शायद आपकी चिंताओं का कम से कम है-आखिरकार, साइटें हर समय हैक हो जाती हैं, और यदि आप हर जगह एक ही पासवर्ड का उपयोग कर रहे हैं, तो आपके सभी डेटा नियमित रूप से जोखिम में हैं.
यदि आप पहले से ही एक पासवर्ड मैनेजर का उपयोग कर रहे हैं, तो यह प्रक्रिया आसान होनी चाहिए (यदि थोड़ी लंबी और उबाऊ हो)। लेकिन आपको अब तक इस नृत्य का उपयोग करना चाहिए.