Cloudbleed – Milyonlarca CloudFlare Kullanıcısının Bilgileri İnternete Sızdı

Cloudbleed – Milyonlarca CloudFlare Kullanıcısının Bilgileri İnternete Sızdı
Şubat 24 21:53 2017 Yazıyı Yazdır

CloudFlare, ücretli ve ücretsiz olarak kullanılabilen, sitenizin DNS Server görevini üstlenip hız, güvenlik (SQL Injection, DDoS, Spam vb) ve performansında olumlu sonuçlar almanızı sağlayan, sitenizin trafiğini (ziyaretçi ve bot davranışlarını) takip edebileceğiniz bir hizmettir.

CloudFlare, 22 Eylül tarihinde Ragel kullanılarak hazırlanmış HTML ayrıştırıcısı kodları üzerinde yaptığı bir değişiklik sonucunda bug oluştu. Bu bug ile CloudFlare servisinin, sunucu ön belleğindeki verilerin dış kaynaklara sızdırılmasına neden olan bir zafiyet ortaya çıktı.

Bu zafiyet Google’nin güvenlik uzman takımı Project Zero tarafından fark edildi ve 18 Şubat’ta CloudFlare’e bildirilen bu zafiyet 7 saatlik uğraş sonucu güvenlik açığı kapatıldı.

Yapılan açıklamaya göre, açığın 22 Eylül 2016’daki güncelleme ile ortaya çıktığı ve en büyük veri kaybının ise 13 Şubat 2017’de olduğu belirtildi. Bu sızıntıdan Türkiye’ye ait sitelerde dâhil olmak üzere 5.5 milyonu aşkın site etkilenmiş durumda. Sızan veriler arasında cookie (çerezler), parolalar,  API anahtarları, URI parametreleri, kimlik doğrulamasında kullanılan diğer kişisel ve hassas bilgiler bulunuyor.

CloudFlare açıklamasında zafiyet ile ilgili gerekli güvenlik önlemlerini aldıklarını sorunlu kodları düzelttiğini açıklamış ve açık nedeniyle sızan bilgilerin ise arama motorları tarafından önbelleklerine alındığı da tespit edilen bilgiler arasında olması nedeniyle veri sızıntısına karşı web sitesi yöneticilerinin site üzerindeki parolalarını değiştirmeleri konusunda uyarmıştır.

 

 

Gönderen: Hakan E. Deniz

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.