Logo fr.androidermagazine.com
Logo fr.androidermagazine.com

Cloudbleed: ce que vous devez savoir et ce que vous devez faire

Table des matières:

Anonim

Le 17 février 2017, un chercheur en vulnérabilités du projet Google Zero Tavis Ormandy de Google est tombé par hasard sur ce qui ressemblait à une fuite de données vraiment désagréable de Cloudflare, une entreprise de sécurité et de performances Web. Il a rapidement contacté les "bonnes" personnes chez Cloudflare et la situation a été résolue en moins d'une heure.

Toute violation de données peut être significative. Surtout lorsqu'un service compte plus d'un milliard d'utilisateurs. Nous vous dirigerons vers le rapport d'incident Cloudflare pour plus de détails sur ce qui s'est passé (avertissement: c'est assez technique). En termes simples, des données potentiellement sensibles ont été divulguées. Ces données étaient accessibles à tous, même aux araignées Web utilisées par les moteurs de recherche. Les clés SSL n'ont pas été divulguées.

Les fonctionnalités Cloudflare qui utilisaient l'analyseur HTML affecté (obfuscation de courrier électronique, exclusions côté serveur et réécritures HTTPS automatiques) étaient utilisées par de nombreuses entreprises. Cela signifie que vos données ont peut-être été exposées.

Mobile Nations utilise certains des services de Cloudflare. En fait, vous nous trouverez sur la liste des sites potentiellement affectés. Nous avons vérifié que les services affectés ne sont ni utilisés, ni jamais utilisés sur des sites Mobile Nations.

Après enquête, les fonctionnalités de #Cloudbleed (obscurcissement des e-mails, SSE, réécritures HTTPS) n’ont jamais été actives sur les sites @MobileNations.

- Marcus Adolfsson (@madolfsson) le 24 février 2017

Nous avons également reçu une notification de Cloudflare à propos de la fuite et ils ont dit ceci:

Votre domaine ne fait pas partie des domaines dans lesquels nous avons découvert des données exposées dans des caches tiers. Le bogue a été corrigé afin qu'il ne fuie plus de données. Cependant, nous continuons à travailler avec ces caches pour examiner leurs enregistrements et les aider à purger toutes les données exposées que nous trouvons. Si nous découvrons des données divulguées sur vos domaines lors de cette recherche, nous vous contacterons directement et vous fournirons les détails complets de ce que nous avons trouvé.

Recherchez une déclaration similaire provenant d'autres endroits où vous avez un compte avec des informations sur vos données qui peuvent avoir été exposées.

Que devrais-je faire

Comme dans la plupart des grandes instances de sécurité, nous ne connaîtrons jamais tous les détails de ce qui a été divulgué ou non. Nous pouvons confirmer que nous n'utilisons pas les services mentionnés comme vulnérables, mais nous ne savons pas comment quoi que ce soit d'autre sur les serveurs de Cloudflare pourrait avoir été affecté. Tous les clients Cloudflare sont dans le même bateau.

Cela signifie qu'il est temps pour vous d'être proactif.

Changer le mot de passe pour tous vos comptes en ligne

Oui, ça craint, mais tu sais ce qui craint plus? Demander à quelqu'un de récupérer vos informations et d'accéder à des éléments auxquels vous ne souhaitez pas qu'ils aient accès. Utilisez un gestionnaire de mots de passe et laissez-le créer des mots de passe loufoques et mémorisez-les pour vous si vous ne possédez pas votre propre routine de gestion de mot de passe. Si vous n'avez pas utilisé de gestionnaire de mot de passe dans le passé mais que vous vouliez en vérifier un, le moment est idéal.

Plus: Meilleurs gestionnaires de mots de passe pour Android

C’est aussi le bon moment pour vous rappeler que vous devriez changer vos mots de passe régulièrement, ce qui fait du gestionnaire de mots de passe un must si vous avez beaucoup de comptes.

Activer l'authentification à deux facteurs sur chaque compte pour lequel elle est disponible en option

Si l'authentification à deux facteurs est activée, une autre personne possédant vos informations de connexion ne pourra toujours pas accéder à votre compte. L'authentification à deux facteurs peut parfois être pénible, mais c'est le meilleur moyen de vous protéger en cas de violation du Big Data, comme celle que nous observons actuellement.

Voici quelques ressources sur l'authentification à deux facteurs.

  • Ce que vous devez savoir sur l'authentification à deux facteurs
  • Comment configurer une authentification à deux facteurs sur votre compte Google
  • Ajouter une clé de sécurité USB à votre compte Google
  • Les clés de sécurité sans fil fonctionnent maintenant sur Android
  • Télécharger Google Authenticator
  • Liste des sites Web et s'ils soutiennent ou non 2FA.

Rien de ce que nous pouvons faire n'empêchera ce type de fuite de données. L’important est ce que nous pouvons faire pour nous protéger quand ils se produisent,