Меняйте пароли: CloudFlare по ошибке сливал данные с миллионов сайтов

23 февраля Cloudflare объявил о дыре в собственной безопасности, из-за которой сервис незаметно отдавал в сеть конфиденциальные данные с хранилищ своих клиентов. Услугами компании пользуются порядка 5 миллионов сайтов, поэтому проблема по настоящему массовая.

Cloudflare обеспечивает безопасность сайтов и доставку контента до пользователя. Сервис заработал в 2009 году и среди его клиентов числятся Uber, 1Password, Avito и миллионы других популярных ресурсов.

Утечку случайно обнаружил сотрудник Google Тэвис Орманди. Инженер работал над проектом в ходе которого обратился к сайту, использующему Cloudflare. Часть страниц сервис открывает через технологию Google AMP (Accelerated Mobile Pages), призванную повысить скорость загрузки. Однако из-за плохой адаптации Cloudflare сбоил и отправлял данные с серверов компании в поисковые системы.

Сбой случался раз на 3 миллиона открытых страниц, и представители сервиса заявляют об утечке 0.00003% данных, что все равно не мало — порядка 120 тысяч единиц данных в день. В ходе обнаружения ошибки сотрудник Google завладел данными Uber и OKCupid, но уничтожил их.

По данным Орманди, Cloudflare был уязвим с сентября 2016 года по 23 февраля 2017 года. Представители сервиса уже устранили неисправность и настаивают на том, что данные не попали в руки хакеров. На GitHub опубликовали список сайтов, которые могли пострадать. Если вы нашли в нем ресурс, которым пользуетесь, обезопасьте себя и смените пароль.