CloudBleed हर समय सबसे बड़ी सुरक्षा खतरों में से एक है, और यह वर्तमान में इसके प्रमुख पर है। CloudFlare, कंटेंट डिलीवरी प्रदाता, हाल ही में एक बग मिला जिसने इंटरनेट पर रिसाव करने के लिए पासवर्ड से लेकर उपयोगकर्ता की जानकारी तक, व्यक्तिगत जानकारी के बहुत से व्यक्तिगत डेटा का कारण बना दिया है।
विडंबना यह है कि क्लाउडफ्लारे सबसे बड़ी इंटरनेट सुरक्षा कंपनियों में से एक है और पिछले साल Google की भेद्यता रिपोर्ट के माध्यम से जांच के लिए लाया गया था। लेकिन बुरी खबर यह है कि क्लाउडफ्लारे-समर्थित साइटें शायद Google विश्लेषकों द्वारा खोजे जाने से पहले डेटा लीक कर रही हैं। और, फिटबिट, उबर और ओकेक्यूपिड जैसे ग्राहकों के साथ, क्लाउडफ्लेयर के ग्राहकों के बारे में चिंता करने के लिए बहुत कुछ है। तो, आपको जिस कदम को लेने की आवश्यकता है वह इंटरनेट पर हर खाते पर अपने सभी पासवर्ड बदलना है और जहां भी संभव हो दो-कारक प्रमाणीकरण सक्षम करना है।
क्लाउडफ्लारे, जबकि दुनिया में अधिक लोकप्रिय इंटरनेट सेवाओं में से एक अपेक्षाकृत अज्ञात नाम है। ऐसा इसलिए है क्योंकि यह सुनिश्चित करने के लिए दृश्यों के पीछे काम करता है कि वेबसाइटों को वेब फ़ायरवॉल द्वारा संरक्षित किया जाता है। यह एक सीडीएन, डोमेन नेम सर्वर, और डीडीओएस प्रोटेक्टर सेवा कंपनी है जो प्रमुख वेबसाइटों के लिए उत्पादों का पूरा मेनू प्रदान करती है। और, यह स्थिति की बड़ी विडंबना है। एक 'सामग्री सुरक्षा' विशेषज्ञ संगठन होने के नाते, क्लाउडफ्लारे इस बड़े मैलवेयर हमले के लिए आखिरी जगह होनी चाहिए थी। आखिरकार, अनगिनत कंपनियां अपने उपयोगकर्ता डेटा को सुरक्षित रखने में मदद के लिए क्लाउडफ्लेयर का भुगतान करती हैं। Cloudbleed उस के विपरीत गलती हुई।
क्लाउडब्लेड का विवरण
नाम हार्टबलेड बग से इसकी उत्पत्ति प्राप्त करता है, जो कि नए जैसा ही है। वास्तव में, जाहिर है, क्लाउडबलेड बग एक त्रुटि का परिणाम है। क्लाउडफ्लारे के कोड में एक ही चरित्र आपदा का कारण बन रहा है। वर्तमान में यह कोई जानकारी नहीं है कि यह मानव त्रुटि या जानबूझकर कार्रवाई है, लेकिन हमले का दावा करने के लिए कंपनी सार्वजनिक रूप से बाहर आने के बाद यह और अधिक स्पष्ट दिखाई देगी।
अभी, हमारे 'तथ्यों' से प्राप्त करने के लिए सिर्फ इस ब्लॉग पोस्ट है। यह उल्लेख करता है कि सीएफ-एचटीएमएल नामक एक नए एचटीएमएल पार्सर का उपयोग करने के कंपनी के फैसले से यह मुद्दा सामने आया है। एक HTML पार्सर एक ऐसा एप्लिकेशन है जो प्रारंभिक टैग जैसे कि प्रारंभ टैग और एंड टैग को खींचने के लिए कोड स्कैन करता है। इससे उस कोड को संशोधित करना आसान हो जाता है।
सीएफ-एचटीएमएल और पुराने रैगेल पार्सर दोनों को हमारे एनजीआईएनएक्स बिल्ड में संकलित एनजीआईएनएक्स मॉड्यूल के रूप में लागू किया गया था। इन एनजीआईएनएक्स फ़िल्टर मॉड्यूल पार्स बफर (मेमोरी के ब्लॉक) जिसमें HTML प्रतिक्रियाएं हैं, आवश्यकतानुसार संशोधन करें, और बफर को अगले फ़िल्टर में पास करें। यह पता चला कि अंतर्निहित बग जिसने मेमोरी रिसाव को कई वर्षों तक अपने रैगेल-आधारित पार्सर में मौजूद किया था, लेकिन आंतरिक एनजीआईएनएक्स बफर के इस्तेमाल के कारण कोई स्मृति लीक नहीं हुई थी। सीएफ-एचटीएमएल को प्रस्तुत करने से बफरिंग में बदलाव आया जो रिसाव को सक्षम करता है, भले ही सीएफ-एचटीएमएल में कोई समस्या न हो।
आम आदमी के शब्दों में इसका क्या अर्थ है कि क्लाउडफ्लेयर का इरादा पूरी तरह से हानिरहित था। उन्होंने बस उपयोगकर्ता डेटा को सबसे कुशल स्थान में संग्रहीत करने की कोशिश की। लेकिन जब इस स्थान की याददाश्त पूरी हो गई, तो उन्होंने इसे अन्य वेबसाइटों पर संग्रहीत किया जहां से यह अनंतता और उससे आगे निकल गया। अब लगभग असंभव कार्य उन सभी वेबसाइटों को इकट्ठा करना और डेटा का दावा करना है।
क्लाउडबल प्रभावित साइटों के खिलाफ कैसे सुरक्षित रहें
2014 में क्लाउडफ्लारे द्वारा क्रिप्टोसेल के मालिक सुरक्षा विशेषज्ञ रयान लैकी के पास आपके लिए कुछ टिप्स हैं जो आप कर सकते हैं।
“Cloudflare is behind many of the largest consumer web services, so rather than trying to identify which services are on CloudFlare, it’s probably most prudent to use this as an opportunity to rotate ALL passwords on all of your sites. Users should also log out and log into their mobile applications after this update. While you’re at it if it’s possible to use 2FA or 2SV with sites you consider important.” Lackey said.
पता लगाएं कि क्या आपने क्लाउडब्लेड प्रभावित साइटों का दौरा किया है
किसी भी मामले में, आपके ऑनलाइन खातों के पासवर्ड बदलने और सुरक्षित रहने का अच्छा विचार हो सकता है।
रिसाव का विस्तार
पूरे झगड़े के बारे में सबसे असामान्य हिस्सा यह है कि यह तय करना संभव नहीं है कि कौन और क्या प्रभावित हुआ है। क्लाउडफ्लारे का दावा है कि पूरे डेटाबेस का केवल एक मिनट हिस्सा क्लाउडब्लेड द्वारा अनुरोध पर लीक किया गया है, लेकिन यह ऐसी कंपनी से आ रहा है जो इस बग के बारे में नहीं जानता था जब तक कि Google के किसी ने इसे विशेष रूप से इंगित नहीं किया। उसमें जोड़ें, तथ्य यह है कि उनके बहुत सारे डेटा को अन्य तृतीय-पक्ष साइटों पर कैश किया गया था, और आप कभी नहीं जानते कि सभी डेटा से समझौता किया गया है या नहीं। लेकिन वह सब नहीं है। समस्याएं क्लाउडफ्लेयर के ग्राहकों तक ही सीमित नहीं हैं - जिन कंपनियों के पास क्लाउडफ्लेयर क्लाइंट हैं, उनमें उपयोगकर्ताओं को भी प्रभावित होने की उम्मीद है।