/CloudBleed: Mude a Sua Password

CloudBleed: Mude a Sua Password

A Cloudflare é um serviço popular que age como um escudo digital, um proxy que protege milhões de sites de DoS e outros malefícios. Este serviço sempre foi considerado seguro.

No entanto, durante a semana passada, um bug agora conhecido como “Cloudbleed” foi descoberto por Travis Ormandy no projecto Google Project Zero. O bug foi causado por algo conhecido como “buffer overflow”, que fez com que informação fosse “derramada” pela internet. Sempre que alguém pede acesso a informação de um certo site protegido pela Cloudflare, esta podia enviar data aleatória de outro site. Esta informação é completamente aleatória, ou seja, não são necessariamente passwords, no entanto existe esse risco. Travis Ormandy disse (traduzido):

“Pegamos algumas amostras ao vivo, e observamos chaves de encriptação, cookies, passwords, pedaços de informação POST e até pedidos HTTPS para outros sites com Cloudflare de outros utilizadores.”

Alguns dos sites mais populares relativos a Bitcoin, como mercados de câmbio e carteiras, utilizam a Cloudflare. Estes podem ter comprometido informação importante como passwords e e-mails. Nesta lista estão incluídos, entre outros, a Coinbase, Kraken , LocalBitcoins, Poloniex e mais.

Estes sites já enviaram e-mails aos utilizadores a sugerir a mudança da password e a desativação e reativação de 2-factor authentication devido à significância desta vulnerabilidade que pode ter sido explorada desde 22 de Setembro até 20 de Fevereiro, sendo o período de maior impacto entre 13-18 de Fevereiro. Apesar deste problema já ter sido resolvido pela Cloudflare, alguns motores de busca podem ter informação ainda guardada em cache, o que significa que ela está ainda pública.

No entanto, existe ainda um lado positivo. A possibilidade de informação sensível ter caído nas “mãos erradas” parece ser extremamente pequena. Porém, não existe forma de ter a certeza e como tal é sempre melhor fazer a alteração das suas passwords, 2-fa e chaves API.

Pode ver aqui uma lista de sites que foram afetados pelo “Cloudbleed”.


Fonte: http://www.nasdaq.com/article/using-a-bitcoin-service-you-may-need-to-change-your-password-now-cm753133#ixzz4Zs5ihnbm