目次:
2017年2月17日に、GoogleのProject Zero Tavis Ormandyの脆弱性研究者は、Webパフォーマンスおよびセキュリティ企業であるCloudflareからの非常に厄介なデータリークのように見えるものに出会いました。 彼はすぐにCloudflareの「正しい」人々に連絡し、状況は1時間以内に解決されました。
データ侵害は重大な可能性があります。 特に、サービスに10億を超えるユーザーがいる場合。 Cloudflareインシデントレポートで、 何 が起こったの か 詳細を確認できます(警告:かなり技術的です)。 素人の言葉では、潜在的に機密性の高いデータが漏洩しました。 このデータは、検索エンジンで使用されるWebスパイダーでさえも、誰でも利用できました。 SSLキーは漏洩しませんでした 。
影響を受けるHTMLパーサーを使用したCloudflare機能(電子メールの難読化、サーバー側の除外、および自動HTTPSリライト)は、多くの企業で使用されていました。 オンラインアカウントを持っている可能性が最も高い企業。これは、データが公開されている可能性があることを意味します。
Mobile NationsはCloudflareのサービスの一部を使用しています。 実際、潜在的に影響を受けるサイトの周りに浮かぶリストで私たちを見つけるでしょう。 影響を受けるサービスが使用されておらず、Mobile Nationsサイトで使用されたことがないことを確認しました。
調査後、#Cloudbleedの背後にある機能(電子メール難読化、SSE、HTTPSリライト)が@MobileNationsサイトでアクティブになったことはありません
-マーカス・アドルフソン(@madolfsson)2017年2月24日
また、Cloudflareからリークについての通知を受け取りました。
あなたのドメインは、サードパーティのキャッシュで公開されたデータを発見したドメインの1つではありません。 このバグにはパッチが適用されているため、データが漏洩することはありません。 ただし、これらのキャッシュを引き続き使用してレコードを確認し、見つかったすべての公開データをパージできるようにします。 この検索中にドメインに関するデータの漏洩を発見した場合は、直接連絡し、見つかった内容の詳細を提供します。
公開されている可能性のあるデータに関する情報については、アカウントを持っている他の場所から同様の声明を探してください。
私は何をすべきか
ほとんどの大規模なセキュリティインスタンスと同様に、何が漏えいしたのか、何が漏えいしたのかを完全に知ることはできません。 脆弱性として言及されているサービスを使用していないことは確認できますが、Cloudflareのサーバー上の他の何かがどのような影響を受けたかはわかりません。 すべてのCloudflareの顧客は同じ船に乗っています。
それはあなたが先を見越して取得する時だということです。
すべてのオンラインアカウントのパスワードを変更する
はい、これはひどいですが、もっとひどいことを知っていますか? 誰かがあなたの詳細を取得し、あなたが彼らにアクセスさせたくないものにアクセスできるようにする。 独自のパスワード管理ルーチンがない場合は、パスワードマネージャーを使用して、おかしなパスワードを作成し、覚えておいてください。 過去にパスワードマネージャーを使用したことがないが、パスワードマネージャーを確認したい場合は、今が最適なタイミングです。
詳細:Android用の最高のパスワードマネージャー
また、パスワードを定期的に変更する必要があることを覚えておくとよいでしょう。これにより、多くのアカウントを持っている場合、パスワードマネージャーが必須になります。
オプションとして利用可能なすべてのアカウントで二要素認証を有効にします
二要素認証を有効にしている場合、ログイン情報を持つ他のユーザーはアカウントにアクセスできません。 二要素認証も時には苦痛になる場合がありますが、今見ているようなビッグデータの侵害が発生したときに自分を守る最良の方法です。
二要素認証に関するリソースをいくつか紹介します。
- 二要素認証について知っておくべきこと
- Googleアカウントで2要素認証を設定する方法
- USBセキュリティキーをGoogleアカウントに追加します
- ワイヤレスセキュリティキーがAndroidで動作するようになりました
- Google認証システムをダウンロードする
- Webサイトのリストと、それらが2FAをサポートするかどうか。
この種のデータ漏洩を防ぐことはできません。 重要なことは、発生したときに自分自身を守るためにできることです。
