Mega leak sa CloudFlare-a

[Borgof]

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Lista za sada potencijalno pogodjenih sajtova:
https://github.com/pirate/sites-using-cloudflare

Navodno je resen problem, ali ko zna koliko je podataka dospelo "pogresne" ruke pre nego sto su ovi sa Google-a primetili leak.

 

[kUdtiHaEX]

Mi smo, kao CloudFlare partneri, bili uredno obavesteni o celom dogadjaju i komunikacija je isla direktno sa C nivoa. Problem jeste resen, kesh je invalidiran, ali oko 150 partnera je pogodjeno ovim problemom. Trenutno se sa svakim od njih direktno radi na utvrdjivanju nivoa ugrozenosti njihovih podataka.

 

[Borgof]

Meni ovo predstavlja potencijalni problem, pa sam polako poceo da menjam sifre jer imam naloge na dosta sajtova sa te liste koju sam ostavio, ali sam iz predostroznosi poceo da menjam i na drugima za koje znam da koriste CF, a da nisu na toj listi.

 

[kUdtiHaEX]

Naravno, promena svih lozinki se podrazumeva. Obavezno to uradite.
Ukoliko imate aplikacije na telefonima koje koriste OAuth2, ponovo se prijavite. Resetujte bukvalno sve.

 

[ABET]

The underlying bug occurs because of a pointer error.

The root cause of the bug was that reaching the end of a buffer was checked using the equality operator and a pointer was able to step past the end of the buffer. This is known as a buffer overrun.

Ma ko bi rekao. Najjace sto ce odredjeni i dalje kriviti "neuke" programere a ne ovaj nesrecni "zilet" od programskog jezika. U idealnom svetu gde je sve bajno, sjajno, gde se ljudi nikad ne umaraju, uvek su koncentrisani 100% i znaju sve trikove, C/C++ je super resenje. U realnom svetu gde nista od navedenog ne vazi samo stvara probleme.

Koliko sam procitao po netu, male su sanse da procure sifre ali ih svejedno treba menjati iz predostroznosti.

 

[Borgof]

Ovaj lik iz Google-a sto je pronasao leak je rekao:

I'm finding private messages from major dating sites, full messages from a well-known chat service, online password manager data, frames from adult video sites, hotel bookings. We're talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything.

Ostavio je cak i screenshotove fetchovanih podataka. Takodje je rekao kako je njihov crawler uhvatio podatke verovatno su i drugi.

Kontam nije cak ni pitanje da li su, nego koliko njih je fetchovalo te podatke.

 

[rAMA]

Car je go 🙂

 

[zechs]

Ovaj lik iz Google-a sto je pronasao leak je rekao:



Ostavio je cak i screenshotove fetchovanih podataka. Takodje je rekao kako je njihov crawler uhvatio podatke verovatno su i drugi.

Kontam nije cak ni pitanje da li su, nego koliko njih je fetchovalo te podatke.

Jesu li sifre hashovane? Nisu plain text pretpostavljam? Mrzi me da menjam sifre na gomili sajtova sad...fuck them ionako su korisnicki nalozi