O que é o Cloudflare e realmente vazou meus dados por toda a Internet?
Nos últimos meses, um bug no popular serviço Cloudflare pode ter exposto dados confidenciais de usuários, incluindo nomes de usuários, senhas e mensagens privadas, para o mundo em texto simples. Mas quão grande é esse problema, e o que você deve fazer?
O que é o Cloudflare?
O Cloudflare é um serviço que oferece recursos de segurança e desempenho (entre outras coisas) para uma ampla rede de sites. Ele age como um proxy reverso, um intermediário entre você - o usuário - e um determinado site. Quando você for visitar esse site, você será direcionado para um dos servidores da Cloudflare em vez dos servidores do site real.
Isso permite que a Cloudflare garanta que você é um usuário legítimo (protegendo contra ataques de negação de serviço), carregue o site mais rapidamente (já que eles armazenaram em cache certas partes do site) e proteja contra o tempo de inatividade (já que eles têm vários servidores em todo o mundo e pode recorrer a qualquer servidor se houver algum problema).
O Cloudflare garante que os atacantes de DDoS não recebam tráfego para o site real.Resumindo: Cloudflare tem como objetivo tornar os sites mais rápidos e mais seguros, e é um serviço que muitos sites usam.
O que aconteceu? (E o que é "Cloudbleed?")
Infelizmente, nada é 100% seguro, mesmo que um site use um serviço como o Cloudflare, e erros acontecem. Neste caso, a Cloudflare realmente causado um problema de segurança: um bug no código do proxy reverso que analisa o HTML fazia com que os servidores da Cloudflare vazassem o conteúdo de sua memória em certas circunstâncias. (Algumas pessoas estão se referindo a isso como "Cloudbleed", um playoff do bug Heartbleed que também afetou uma grande parte da internet.)
Esses dados podem ter incluído todos os tipos de dados confidenciais, incluindo nomes de usuários, senhas, mensagens privadas, tokens OAuth e muito mais. Pior ainda, alguns desses dados foram indexados e armazenados em cache por alguns mecanismos de pesquisa (cerca de 700 páginas, de acordo com a Cloudflare), portanto, se você souber o que pesquisar no Google, poderá encontrar dados confidenciais de usuários que fazem login no momento de um determinado vazamento.
Se você souber o que pesquisar, poderá encontrar algumas informações vazadas do Cloudflare nos mecanismos de pesquisa.Este bug foi descoberto por cerca de cinco meses e foi corrigido após ser descoberto nesta semana. A Cloudflare diz que “o maior período de impacto foi de 13 de fevereiro e 18 de fevereiro, com cerca de 1 em cada 3.300.000 solicitações HTTP no Cloudflare, potencialmente resultando em vazamento de memória (cerca de 0,00003% de solicitações)”.
Mas com um serviço tão popular quanto o Cloudflare, 0,00003% ainda é muito. Algumas pessoas têm compilado uma lista de sites que usam o Cloudflare e incluem mais de 4 milhões de domínios, incluindo Yelp, OkCupid, Uber, Authy, Medium e muitos outros. (Alguns aplicativos móveis também são afetados.)
Você pode ler mais sobre os detalhes técnicos deste bug no blog da Cloudflare, embora provavelmente só lhe interessará se você for um programador - se você é um usuário regular da internet, a única coisa que você precisa saber é…
O que devo fazer?
Primeiro: não entre em pânico demais. Nem todos os sites da lista de 4 milhões necessariamente vazaram informações confidenciais - se um site estivesse usando o Cloudflare para armazenar dados de imagem, por exemplo, não haveria informações confidenciais a serem vazadas. E não é como se cada vazamento fosse uma lista mestra de senhas de qualquer maneira - eram informações aleatórias, que poderia incluímos alguns nomes de usuário e senhas aleatórias a qualquer momento.
No entanto, a Cloudflare também observou que uma de suas próprias chaves privadas vazou, o que teria fornecido ao atacante acesso a muitos dados internos do Cloudflare - incluindo, potencialmente, nomes de usuários e senhas. A Cloudflare foi extremamente vaga quanto a esse ponto em particular, apesar de ser um grande risco de segurança com o potencial de vazar informações muito mais confidenciais
Tudo o que disse, não há nenhuma maneira real de saber se algum dos seus dados foi vazado e onde, então o único curso seguro de ação agora é mudar todas as suas senhas. (Claro, você poderia olhar através da lista de 4 milhões de sites e apenas mudar aqueles usados pelo Cloudflare, mas honestamente, provavelmente seria mais fácil e mais rápido apenas mudá-los todos.)
As regras usuais com senhas se aplicam aqui: não use a mesma senha em vários sites, use um gerenciador de senhas como o LastPass e ative a autenticação de dois fatores para cada site que permita isso. Se você não estiver fazendo essas coisas, o bug do Cloudflare é provavelmente a menor das suas preocupações - afinal, sites são hackeados o tempo todo, e se você estiver usando a mesma senha em todos os lugares, todos os seus dados estarão em risco regular.
Se você já estiver usando um gerenciador de senhas, esse processo deve ser fácil (se for um pouco longo e chato). Mas você deve estar acostumado a esta dança até agora.