CDN企業Cloudflareのバグで、多数のサービスで機密データ流出の可能性

1: 海江田三郎 ★ 2017/02/25(土) 20:20:58.13 ID:CAP_USER

http://www.itmedia.co.jp/news/articles/1702/25/news024.html

 多数のWebサービスにCDN(コンテンツ配信ネットワーク)を提供している米Cloudflareは2月23日(現地時間)、 エッジサーバのセキュリティ問題で顧客のHTTPクッキー、認証トークン、HTTP POST本体などの 機密データが流出し、さらにその一部はGoogleやBingなどの検索エンジンによってキャッシュされていたと発表した。

 バグは既に修正された。キャッシュされたデータについてはGoogle、Yahoo、Bingなどの協力により、 既にパージされた。Cloudflareは、流出したデータが悪用されたという報告は今のところないとしている。

 Cloudflareのサービスは、例えばUberやFitBit、Feedlyなど、世界の550万以上の企業が利用している。

 この問題の影響を受けた可能性のある企業のリストを第三者がGitHubで公開しているが、それを確認するよりも、自分が使っているサービスのパスワードを念のためにすべて変更する方が確実で早いだろうと、 セキュリティ専門家のライアン・ラッキー氏はアドバイスしている。

 この問題は、Googleの情報セキュリティエンジニアであるタビス・オーマンディ氏が「Project Zero」のリサーチ中に発見し、 2月17日にCloudflareに報告した。原因は複合的なもので、「Automatic HTTP Rewrites」の有効化、Server-Side ExcludesとEmail Obfuscationの新しいパーサーへの移行の際に発生した。

 オーマンディ氏によると、検索エンジンのキャッシュからは、大手サービス上のプライベートなメッセージングの内容 やHTTPS経由で送信された大手パスワード管理サービスのプレインテキストのAPIリクエストまで見つかったという (すべてパージした)。同氏は問題の規模の大きさから、2014年に発覚した「OpenSSL」の脆弱性「Heartbleed」を想起するとし、 「Cloudbleed」と呼びたくなるとしている。

 オーマンディ氏から連絡を受けたCloudflareはすぐに対処に当たり、21日には関連する問題をほぼ修正した。

 Cloudflareは現在、改めて既存システム上の問題を洗い出しているという

20: 名刺は切らしておりまして 2017/02/25(土) 23:04:00.78 ID:hycSuhO3

>>1
やっぱり起きたか
情報弱者のきわみ(同意>>6)

最近2ちゃん荒らしのこと調べてたら
いつもと違う挙動の検索結果が出た気がする
それかな

24: 名刺は切らしておりまして 2017/02/26(日) 06:51:36.36 ID:xR8gacPs

>>20
>>23

この件で何が起きたのか本当はよくわかってないだろ。

情弱ってのはデジタルデバイスが使えない人よりも、
君みたいに正しく情報を理解できない人たちのことを指すんじゃないか?

28: 名刺は切らしておりまして 2017/02/26(日) 17:28:13.01 ID:50RlLv87
>>24
外資工作員乙

2: 名刺は切らしておりまして 2017/02/25(土) 20:22:54.40 ID:CImSn/JR
Amazonの購入履歴とかはやめて(><)

5: 名刺は切らしておりまして 2017/02/25(土) 20:32:57.58 ID:G3S8xWOn

4: 名刺は切らしておりまして 2017/02/25(土) 20:25:30.55 ID:1TggezMU
やっぱクラウド化はヤバイ種が残されてるな。

6: 名刺は切らしておりまして 2017/02/25(土) 20:38:19.10 ID:SAWK8G63
クラウドを使う企業は流行に流される情弱

7: 名刺は切らしておりまして 2017/02/25(土) 20:39:08.58 ID:RnMRgtx1
本当に本当に大切なのはアナログが一番なんだよな

8: 名刺は切らしておりまして 2017/02/25(土) 20:40:06.70 ID:2NLetDDv

人件費が1/10 になる内職や引退技術者、主婦を活用できるクラウド使わなきゃ

そら勝負にすらならんでしょ

アメリカや中国などバンバンやってるなか、竹槍持って戦うわけにもあかんだろうし

9: 名刺は切らしておりまして 2017/02/25(土) 20:40:15.08 ID:Pj5T2sgi
これだからクラウドは怖い

10: 名刺は切らしておりまして 2017/02/25(土) 20:43:06.31 ID:sFysPHe1

三菱UFJ、勘定系システムのAWS移行も
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/022400847/

君たちの銀行残高がネットに晒されるのももう直ぐ

11: 名刺は切らしておりまして 2017/02/25(土) 20:54:42.85 ID:2iqSi2uC
CDNはDQN

12: 名刺は切らしておりまして 2017/02/25(土) 21:00:43.73 ID:0D/won+Q
良くもまあ他人にデータを預ける気になるなあ
サーバー構築して定期的にちゃんとメンテナンスしとけば良いだろうに

13: 名刺は切らしておりまして 2017/02/25(土) 21:03:43.53 ID:fS/5aC0l
2chもここ使ってるけど大丈夫なの?w

14: 名刺は切らしておりまして 2017/02/25(土) 21:24:04.32 ID:AJo+87or
Googleが一部利用者のログインを一度取り消して再ログインをさせてるのはこれが原因だろうな

15: 名刺は切らしておりまして 2017/02/25(土) 21:44:25.80 ID:zxF7gvvI
だからあれ程クラウドはやめとけとw

16: 名刺は切らしておりまして 2017/02/25(土) 21:45:41.11 ID:2NLetDDv

クラウドの流れはとまらんだろ

やらなきゃ勝負にならん

18: 名刺は切らしておりまして 2017/02/25(土) 21:54:40.24 ID:0D/won+Q

>>16
だから社内でクラウディングして完結すれば良いだろw

サーバー構築して各社員の端末からアクセスさせれば良いだけだろ
立派なクラウディングだよ、つか、既にあるわな

なぜ一々社外へデータ積む必要があるんだね?
サーバー構築と管理費用か?
リスク考えたら社内サーバーの方が安いと思うよ俺は
クラウドなんぞリスクが見えにくい、と言う、盲点を狙った馬鹿な商売でしかない

19: 名刺は切らしておりまして 2017/02/25(土) 22:10:07.25 ID:I5K9leu4
appleでもやらかすからクラウドは危ない
DropBoxやEvernoteも怖い

21: 名刺は切らしておりまして 2017/02/25(土) 23:04:34.63 ID:hycSuhO3
クラウド普及でインターネット滅亡だろうと思ってた

22: 名刺は切らしておりまして 今日夕方には©2ch.net 2017/02/25(土) 23:13:06.48 ID:zY8ryy6c
でもCloudflareは便利なんだよなあ
一度利用しちゃうと企業もクラウド利用をやめるのは難しいな

23: 名刺は切らしておりまして 2017/02/26(日) 02:39:30.11 ID:QgSmSGvK

皆の反応薄いな、日本企業がこんなことやらかしたら
廃業寸前まで追い込もうとするような勢いの騒ぎになるはずなのに。

やっぱり、その手の騒ぎは外資工作員が扇動しているのかねw

25: 名刺は切らしておりまして 2017/02/26(日) 08:36:19.12 ID:Yx89tWbq
むしろ流出させるのが目的

26: 名刺は切らしておりまして 2017/02/26(日) 09:29:02.73 ID:F/Jx9rf+
だから、クラウドはやめておけと、あれほど。 いずれ、勘定奉行やセコム
から、マイナンバー情報で紐付けされた日本人の情報が、半島へ流れると
いうか、ソフトバンクみたいに、既にクラウドサーバー自体が韓国にある
かもね。

27: 名刺は切らしておりまして 2017/02/26(日) 15:41:57.96 ID:OqAi8E36

俺なんかサーバー上のデータはしっかりフォルダを深く掘り下げて、ちゃんとHTTP領域に秘蔵してるから大丈夫。

しかも知り合いのスーパープログラマーから聞いたおまじないも書いてある。
index,follow

これで漏れない

スポンサーリンク
日本で一番簡単にビットコインが買える取引所 coincheck bitcoin
日本で一番簡単にビットコインが買える取引所 coincheck bitcoin

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
日本で一番簡単にビットコインが買える取引所 coincheck bitcoin