ثغرة خطيرة في كلاود فلير تسبب في تسريب الرسائل الشخصية وكلمات المرور

ثغرة خطيرة في كلاود فلير تسبب في تسريب الرسائل الشخصية وكلمات المرور

قامت شركة خدمات الإنترنت الكبيرة “كلاود فلير”، التي تتخصص خدمات تشفير الاتصال SSL للملايين من المواقع علي شبكة الانترنت، بالاعلان عن تصحيح الخلل الذي تسبب في تسريب بيانات مجموعة واسعة من العملاء، مثل كلمات المرور، والدردشات النصية، والعديد من المعلومات التي يتم تخزنها علي هذه المواقع.

كانت شركة كلاود فلير قد تعرضت لخلل تسبب في تسريب بيانات شخصية مهمة وحساسة، وملفات تعريف الارتباط، وكلمات المرور للمستخدمين.

وقالت كلاود فلير انها لم ترصد بعد اي استخدامات ضارة للمعلومات المسربة، لكنها نوهت لوجود مشكلة أخري، وهي ان هذه البيانات تمت أرشفتها ي محركات البحث.

 

البيانات المسربة مؤرشفة علي محركات البحث

 

وكان فريق جوجل الأمني اكتشف علي يد الباحث ترافيس اورماندي، الذي يعمل في فريق project Zero يوم الثامن عشر من الشهر الجاري، والذي يسمج بتخزين المعلومات الحساسة ضمن المواقع التي تقدم لها شركة كلاود فلير Cloudflare خدمات التشفير ، بالاضافة الي تخزين محركات البحث هذه البيانات، ومنها جوجل، إلا ان تأثير هذا قد يكون فاعلاً منذ شهر شبتمبر من العام الماضي.

 

وأضاف ترافيس، بأنه وجد حجوزات فنادق، وكلمات سر لعدة تطبيقات، بالاضافة إلي رسائل كاملة من مواقع التعارف ضمن البيانات المخزنة مؤقتاً.
واضاف انه وجد طلبات HTTPS كامل، وعناوين IP، وردود علي الرسائل، وكلمات سر، وبيانات أخري متعددة.

وعمل مهندسي شركة Cloudflare على تعطيل ثلاث ميزات تستخدم التعليمات البرمجية الحاوية على الخلل، والتي تسببت في المشكلة، وانتقلت الشركة للعمل مع محركات البحث التي عملت على تخزين تلك البيانات مؤقتاً لديها من أجل مسحها.

وتعمل العددي من المواقع ذات الشعبية عبر خدمات Cloudflare بما في ذلك Uber وFitbit وOkCupid، إلا أن الشركة قللت من تأثير هذا الخلل على العملاء، وأوضحت في بيان لها بأنها لم تكتشف أي دليل على وجود استعمال سيء.

 

وبحسب بيان اصدرته الشركة، فإن فترة التأثير الأكبر لهذا الخلل كانت مابين يومي 13 و 18 من شهر فبراير لهذا العام، مع وجود طلب واحد يحتمل ان يكون قد سبب عن تسرب في البيانات، من بين  3.300.000 طلب HTTP

 

وكانت شركة 1Password المتخصصة بإدرة كلمات المرور العملية لشركة كلاود فلير Cloudflare مستخدميها، بأن العطل لم يكشف اي من بياناتها للخطر، وأضافت انها تؤكد ي الوقت الحالي انها صممت 1Password، مع وجود توقع لفشل تقنية SSL/TLS.

وتسربت بعض رموز الجلسات الخاصة بشركة  أوبر Uber، مما قد يعرض بعض حسابات أوبر للخطر، إلا أن الشركة قالت أن هذه الرموز قد جرى تغييرها الآن ولا يوجد تسريب فيما يخص كلمات مرور المستخدمين.