Cloudbleed: è davvero importante modificare TUTTE le password?

23

In risposta a di Google e Cloudflare in risposta a recenti rivelazioni del Vulnerabilità Cloudbleed , alcune fonti like TNW raccomandano che le persone cambino le password per siti e servizi che utilizzano CloudFlare. Mi sembra una precauzione ragionevole.

Altri raccomandano che le persone cambia tutte le password , anche per i servizi che non utilizzano Cloudflare. In base a quello che sappiamo finora - certamente all'inizio delle indagini - sembra una reazione eccessiva.

Per quanto posso dire la logica va così:

  • Probabilmente riutilizzi le tue password, grande n00b. Un compromesso della tua password influenzata da Cloudble comprometterà gli altri account.
  • A volte dovresti cambiare la tua password in ogni caso. Smettere di piagnucolare. Ti fa bene.
  • Cercare un elenco di siti interessati è davvero difficile. È molto più semplice cambiare semplicemente tutte le tue password.

Non cambierò tutte le mie password alla leggera. Ci sono oltre 400 siti nel mio gestore di password e non riuso le password. Ricerca di centinaia di siti in un elenco, sia su Github o Utilizza Cloudflare , non sembra difficile rispetto al noioso time-suck di cambiarli tutti.

Finora sembra che Cloudbleed abbia causato occasionalmente la perdita di informazioni da una pagina supportata da Cloudflare nell'output di un'altra pagina supportata da Cloudflare.

Quindi mi manca qualcosa? Ci sono buoni motivi scientifici per cambiare tutte le password per tutti i siti e servizi, dato ciò che sappiamo finora (25 febbraio 2017)? O è una risposta di panico?

    
posta Andy Giesler 25.02.2017 - 21:56
fonte

4 risposte

10

Mentre Miao è giusto per il caso delle password, questa vulnerabilità rende anche i token di Oauth compromessi. Se un sito dipendente da Cloudflare utilizza Oauth, dovresti eseguire un ulteriore passaggio per reimpostare le tue sessioni dipendenti da tutto il Web.

    
risposta data 25.02.2017 - 22:56
fonte
6

Non c'è motivo di cambiare altre password. L'unico scenario che posso pensare a dove potrebbe essere richiesto è il seguente:

Un utente malintenzionato scopre una password per il tuo servizio di posta. Quindi, utilizza il servizio di posta elettronica compromesso per reimpostare una password di un servizio CloudFlare diverso.

Poiché non sono riuscito a trovare un servizio di posta che dipende da CloudFlare, quindi questo scenario non è affatto probabile, sono certo che si tratta di una risposta di panico.

    
risposta data 25.02.2017 - 22:45
fonte
4

Onestamente non penso che le persone siano così gravemente colpite da qualcuno che potrebbe tentare di farti credere. La probabilità che siano stati colpiti esattamente i tuoi account è vicina allo zero.

Per essere interessati, diverse cose devono essere accadute contemporaneamente:

  1. Stavi navigando su uno dei siti interessati.
  2. Un utente malintenzionato stava tentando allo stesso tempo di raccogliere dati privati inviando richieste errate come la sua connessione e cloudflare gli permette di fare
  3. L'attaccante ha effettuato il login sulle stesse istanze del proxy inverso che le tue richieste erano state precedentemente pubblicate da

Tutte e tre le cose devono essere accadute più o meno allo stesso tempo. Al punto 2., l'autore dell'attacco potrebbe aver raccolto dati privati da alcuni utenti, ma la probabilità che tu fossi uno di loro è piuttosto bassa.

Il motivo per cui deve essere accaduto allo stesso tempo è abbastanza semplice. Le istanze proxy non hanno memoria illimitata e quindi la memoria viene riutilizzata molto spesso. Pertanto, anche se la memoria proxy conteneva alcuni dati sensibili dalla tua richiesta, una delle seguenti richieste di altri utenti avrebbe sovrascritto questi dati a causa del riutilizzo della stessa memoria.

Suppongo che l'istanza proxy che tu e l'aggressore stavate utilizzando in quel momento dipendessero anche dalla posizione geografica dell'utente e degli autori degli attacchi. Non ho mai ospitato nulla con l'aiuto di cloudflare e non ho mai studiato il funzionamento del bilanciamento del carico, ma presumo che provino sempre a fornirti un'istanza proxy che offre le migliori prestazioni per la particolare posizione geografica. Sulla base di questa ipotesi, suppongo che gli aggressori fossero limitati ai proxy nella stessa posizione.

Inoltre, poiché solo alcune richieste avrebbero contenuto le tue password (solo le richieste di accesso), la maggior parte dei dati sensibili trapelati avrebbe incluso solo token di sessione e cose del genere. Quindi la probabilità che le tue password siano trapelate scende ancora di più.

Prossimo punto: al momento, si presume che il cloudbleed non sia stato sfruttato prima che il buco fosse scoperto e chiuso. Si presume che i dati trapelati risiedano principalmente nelle cache del motore di ricerca (e probabilmente su tutto il resto di Internet che fa il caching). Ma il numero di richieste con dati trapelati che questi motori di ricerca hanno fatto è piuttosto basso rispetto alle richieste richieste da un utente malintenzionato per ottenere abbastanza dati sensibili e ottenere effettivamente i TUO dati.

    
risposta data 26.02.2017 - 13:39
fonte
1

Ci sono alcuni passi da fare:

  1. Cancella i dati del browser e i cookie
  2. disconnettersi da tutti i siti Web per disattivare la sessione
  3. Il sito Web interessato dalla vulnerabilità legata al cloud dovrebbe informare tutti gli utenti della modifica della password. Sarai costretto a cambiare la tua password.
  4. Imposta l'autenticazione a due fattori il più presto possibile
risposta data 26.02.2017 - 20:23
fonte

Leggi altre domande sui tag