Cloudbleed: kung ano ang kailangan mong malaman at kung ano ang kailangan mong gawin

Noong Pebrero 17, 2017, ang kahinaan ng mananaliksik mula sa Proyekto ng Google Zero Tavis Ormandy ay natagod sa kung ano ang mukhang isang bastos na data na tumagas mula sa Cloudflare, isang kumpanya sa pagganap at seguridad. Mabilis niyang nakipag-ugnay sa mga "tama" na tao sa Cloudflare at ang sitwasyon ay tinugunan nang mas mababa sa isang oras.

Ang anumang paglabag sa data ay maaaring maging makabuluhan. Lalo na kapag ang isang serbisyo ay may higit sa isang bilyong gumagamit. Dadalhin ka namin sa ulat ng insidente ng Cloudflare para sa buong detalye ng nangyari (babala: medyo teknikal ito). Sa mga termino ng mga layko, ang data ay naikalat na maaaring maging sensitibo. Ang data na ito ay magagamit sa sinuman, kahit na mga web spider na ginagamit ng mga search engine. Ang mga SSL key ay hindi leak.

Ang mga tampok ng Cloudflare na ginamit ang apektadong HTML na paragrap (email obfuscation, Pagbubukod ng server, at Awtomatikong HTTPS Rewrites) ay ginagamit ng maraming mga kumpanya. Malamang na mga kumpanya na mayroon kang mga online account na, Nangangahulugan ito na maaaring nakalantad ang iyong data.

Ginagamit ng Mobile Nations ang ilan sa mga serbisyo ng Cloudflare. Sa katunayan, makikita mo kami sa listahan na lumulutang sa paligid ng mga site na maaaring maapektuhan. Napatunayan namin na ang mga apektadong serbisyo ay hindi ginagamit o hindi pa ginamit sa anumang mga site ng Mobile Nations.

Matapos ang pagsisiyasat, ang mga tampok sa likod ng #Cloudbleed (Email Obfuscation, SSE, HTTPS Rewrites) ay hindi pa naging aktibo sa mga site ng @MobileNations

- Marcus Adolfsson (@madolfsson) Pebrero 24, 2017

Nakatanggap din kami ng paunawa mula sa Cloudflare tungkol sa pagtagas at sinabi nila ito:

Ang iyong domain ay hindi isa sa mga domain kung saan natuklasan namin ang nakalantad na data sa anumang mga third party cache. Ang bug ay na-patch kaya hindi na ito data na tumutulo. Gayunpaman, patuloy kaming nagtatrabaho sa mga cache na ito upang suriin ang kanilang mga tala at tulungan silang maglinis ng anumang nakalantad na data na aming nahanap. Kung natuklasan namin ang anumang data na tumagas tungkol sa iyong mga domain sa panahon ng paghahanap na ito, maaabot namin sa iyo nang direkta at bibigyan ka namin ng buong detalye ng aming nahanap.

Maghanap ng isang katulad na pahayag mula sa ibang mga lugar na mayroon kang isang account na para sa impormasyon tungkol sa iyong data na maaaring nakalantad.

Anong gagawin ko

Tulad ng karamihan sa mga malalaking pagkakataon sa seguridad, hindi namin malalaman ang buong detalye ng kung ano ang at hindi na naikalat. Maaari naming kumpirmahin na hindi namin ginagamit ang mga serbisyo na nabanggit bilang mahina, ngunit hindi namin alam kung paano naapektuhan ang anumang iba pa sa mga server ng Cloudflare. Ang bawat customer ng Cloudflare ay nasa parehong bangka.

Nangangahulugan ito na oras na para makapag-aktibo ka.

Baguhin ang password para sa lahat ng iyong mga online account

Oo, sumusuka ito, ngunit alam kung ano ang higit na nagtatagumpay? Ang pagkakaroon ng isang tao makuha ang iyong mga detalye at magkaroon ng access sa mga bagay na hindi mo nais na magkaroon sila ng access. Gumamit ng isang tagapamahala ng password at hayaan itong gumawa ng mga nakatutuwang password at tandaan ang mga ito para sa iyo kung wala kang sariling gawain sa pamamahala ng password. Kung hindi ka nagamit ng isang tagapamahala ng password sa nakaraan ngunit nais mong suriin ang isa, ngayon ay isang perpektong oras.

Higit pa: Pinakamahusay na mga tagapamahala ng password para sa Android

Ngayon ay isang magandang panahon din na alalahanin na dapat mong palitan nang regular ang iyong mga password, na ginagawang kinakailangan ng isang tagapamahala ng password kung mayroon kang maraming mga account.

Paganahin ang pagpapatunay ng dalawang salik sa bawat account na magagamit nito bilang isang pagpipilian

Kung pinagana mo ang pagpapatunay ng dalawang-kadahilanan, ang ibang tao gamit ang iyong mga detalye sa pag-login ay hindi pa ma-access ang iyong account. Ang two-factor na pagpapatotoo ay maaari ding maging isang sakit sa puwit kung minsan, ngunit ito ang pinakamahusay na paraan upang maprotektahan ang iyong sarili kapag nangyari ang isang malaking paglabag sa data, tulad ng nakikita natin ngayon.

Narito ang ilang mga mapagkukunan sa pagpapatunay na two-factor.

• Ano ang kailangan mong malaman tungkol sa dalawang-factor na pagpapatunay
• Paano mag-set up ng dalawang-factor na pagpapatunay sa iyong Google account
• Magdagdag ng isang USB Security Key sa iyong Google account
• Ang mga wireless key key ngayon ay gumagana sa Android
• I-download ang Google Authenticator
• Listahan ng mga website at kung sinusuportahan ba o hindi ang 2FA.

Walang magagawa na maiiwasan ang mga ganitong uri ng data na tumutulo. Ang mahalagang bagay ay magagawa natin upang maprotektahan ang ating sarili kapag nangyari ito,