更新 1: 以下のサイトのリストを参照してください。

更新2: Uberから短い声明を受け取りました

Cloudflareを経由するUberのトラフィックはごくわずかです。関係するトークンはごくわずかで、その後変更されました。パスワードは漏洩していません。

アップデート3: OKCupidも同様の声明を出している

Cloudflare社から昨夜、バグに関する警告を受け、OkCupid会員への影響について調査を進めています。初期調査の結果、リスクは最小限、あるいは全くないことが判明しました。影響を受けたユーザーがいることが判明した場合は、速やかに通知し、保護のための措置を講じます。

コンテンツ配信ネットワーク（CDN）であるCloudflareのバグにより、3,400のウェブサイトからユーザーデータが漏洩し、検索エンジンにキャッシュされました。数ヶ月にわたって影響を受けたサイトには、Uber、Fitbit、出会い系サイトのOKCupidといった大手サイトが含まれています。1PasswordもCloudflareを使用していますが、エンドツーエンドの暗号化により顧客データの漏洩はないとしています。

ArsTechnica は、この漏洩は Google のセキュリティ研究者 Tavis Ormandy 氏によって発見されたと報じている。

暗号化キー、Cookie、パスワード、POSTデータのチャンク、さらには他のユーザーからのCloudflareでホストされている他の主要サイトへのHTTPSリクエストまで確認しました。何が起こっているのか、そしてその影響を理解した後、私たちは直ちに攻撃を停止し、Cloudflareのセキュリティ担当者に連絡しました。

Cloudflare は情報漏洩があったことを認めているが、オーマンディ氏や他のセキュリティ研究者は同社が事件の重大性を過小評価していると考えている…

Cloudflareのブログ投稿では、この問題が深刻であったことを認めているものの、それが悪用されたという証拠はないと述べています。

このバグは、漏洩したメモリに個人情報が含まれている可能性があり、検索エンジンによってキャッシュされていたため、深刻なものでした。また、このバグを悪用した悪意のある行為の証拠や、バグの存在に関する他の報告は発見されていません。

オーマンディは次のように応答した。

[同社のブログ記事]には優れた事後分析が掲載されているが、顧客に対するリスクは大幅に軽視されている。

セキュリティ研究者のライアン・ラッキー氏もこれに同意し、パスワードが漏洩する可能性は低いものの、リスクは存在するので、ユーザーにはパスワードを変更するよう勧めている。

Cloudflareのサービスは迅速にパッチを当ててこのバグを解消しましたが、それ以前から数ヶ月にわたり、データ漏洩は継続的に発生していました。このデータの一部はGoogleなどの検索エンジンに公開キャッシュされており、削除されています。その他のデータは、インターネット上の他のキャッシュやサービスに存在している可能性があります[…]

最も機密性の高い情報は認証情報と資格情報です。これらのデータが侵害されると、資格情報が失効・再発行されるまで、永続的な影響が続く可能性があります。 個人の観点から見ると、これは明白なことです。最も効果的な軽減策はパスワードを変更することです。

Google、Bing、Yahoo、その他の検索エンジンは、誰かが公表する前に侵害のキャッシュデータを消去する作業を行っていたため、通知が遅れたが、  ArsTechnica は一部のキャッシュデータが残っていると指摘している。

この事件は、最も安全なサービスでさえ、サードパーティのコードの脆弱性に対して脆弱であることを浮き彫りにしました。つい昨日、Appleがファームウェアアップデートに潜在的なセキュリティ問題が見つかったことを受け、サーバーサプライヤーとの提携を打ち切ったことが明らかになりました。Appleは、ハードウェアが偶発的または意図的に侵害されるリスクを回避するため、サーバーを含む独自のクラウドインフラの構築に取り組んでいると報じられています。

パスワード管理に関する最新のガイドをご覧ください。

アップデート：

影響を受ける可能性のあるサイトの非公式リストが Github に投稿されていますが、これには Cloudflare DNS を使用するすべてのドメインが含まれていることに注意してください。これは、影響を受けるサービスを使用するドメインよりもはるかに多い数です。

画像: ネブラスカ大学リンカーン校

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。