Một số lượng đáng kinh ngạc các trang web sử dụng proxy ngược và các dịch vụ giảm thiểu DDoS như Cloudflare (ví dụ:Reddit) để bảo vệ chúng khỏi các thảm họa lớn và giữ cho đèn luôn sáng. Các dịch vụ này thường tiếp thị mình với tư cách là nhà cung cấp bảo mật và nâng cao hiệu suất.
Tuy nhiên, trái ngược với điều này, vào ngày 17 tháng 2 năm 2017, một lỗi lớn trong phần mềm của Cloudflare đã khiến một lượng lớn dữ liệu cá nhân từ hàng triệu trang web có thể truy cập bất kỳ lúc nào. Một số dữ liệu này thậm chí còn xuất hiện trên các bản sao được lưu trong bộ nhớ cache của các trang web hiển thị trong kết quả tìm kiếm của Google. Sự kiện cụ thể này, được gọi là Cloudbleed, đã mang đến một cơ hội quý giá để thảo luận về việc sử dụng công nghệ an toàn.
Tất cả điều này là gì ?!
Đối với những người mới bắt đầu, Cloudflare là một dịch vụ hoạt động như một người trung gian giữa trang web của bạn và Internet rộng lớn hơn. Khi bạn truy cập một trang web sử dụng dịch vụ, bạn thực sự đang kết nối với Cloudflare kết nối với trang web đó và chuyển đầu ra của nó cho bạn. Nó sẽ lưu vào bộ nhớ cache của một số trang được truy cập thường xuyên hơn để trang web không phải trả lời mỗi khi ai đó kết nối, do đó giảm tác động của lượng lớn lưu lượng truy cập lên máy chủ cục bộ. Điều này cũng giúp giảm tác động mà các cuộc tấn công từ chối dịch vụ (DDoS) phân tán gây ra trên trang web của bạn vì có một người trung gian có thể ngăn chặn gánh nặng của các cuộc tấn công này, hoạt động như một loại đèn giao thông cho phép khách truy cập hợp pháp đi qua và dừng các bot theo dõi của họ . Cloudflare và các dịch vụ proxy ngược khác (như Incapsula và Akamai) thường sẽ tự tiếp thị mình như những người cung cấp bảo mật trang web.
Chảy máu cam là gì?
Cloudbleed là sự kiện trong đó một thành viên trong nhóm Project Zero của Google đã phát hiện ra một lỗi trong phần mềm của Cloudflare nhằm phát hiện ra các tin nhắn riêng tư từ các trang web lớn, dữ liệu trình quản lý mật khẩu trực tuyến và các yêu cầu HTTPS đầy đủ từ một số máy chủ khác. Phản hồi của Cloudflare đối với các yêu cầu kết nối thường sẽ làm tràn không gian đệm được phân bổ của họ và hiển thị dữ liệu từ bất kỳ khách hàng nào khác truy cập trang web tại thời điểm đó. Nó khiến mọi thứ ở trạng thái công khai và gây ra rủi ro bảo mật nghiêm trọng cho bất kỳ ai sử dụng hoặc sở hữu các trang web dựa vào dịch vụ.
Lỗi này đã được vá vào cuối tháng 2, mặc dù dịch vụ thừa nhận rằng việc rò rỉ dữ liệu có thể đã xảy ra ngay khi giới thiệu trình phân tích cú pháp HTML mới vào ngày 22 tháng 9 năm 2016.
Bài học kinh nghiệm
Nếu bạn đã đọc câu chuyện của chúng tôi một thời gian, bạn có thể nhớ một sự kiện rất tương tự được gọi là Heartbleed vào năm 2014, trong đó các trang web sử dụng OpenSSL dễ bị khai thác có thể làm lộ các đoạn dữ liệu cá nhân cho các bên rình mò. Điều này cùng với Cloudbleed kerfuffle gần đây hơn dạy cho chúng ta một bài học quý giá:không có gì là đáng tin cậy một trăm phần trăm, ngay cả các dịch vụ với mục đích rõ ràng là bảo vệ bạn.
Điều này không có nghĩa là để đánh bại Cloudflare. Lỗi có thể đã xảy ra với bất kỳ dịch vụ nào. Vấn đề ở đây là Internet không phải là nơi mà bạn nên mong đợi một mức độ an toàn được đảm bảo. Bạn có thể làm mọi thứ có thể để bảo vệ mình mà vẫn bị bỏ ngỏ trước một tình huống mà bạn không thể kiểm soát được.
Bạn nên làm gì?
Sự thật là, như Joseph Steinberg của Inc.Com viết, “Rủi ro hiện tại nhỏ hơn nhiều so với cái giá phải trả khi‘ mệt mỏi về an ninh mạng ’gia tăng, dẫn đến những vấn đề lớn hơn nhiều trong tương lai.” Ý anh ấy muốn nói ở đây là bản chất của lỗi khiến khả năng mật khẩu của bạn bị rò rỉ thấp đến mức khó tin đến mức việc thay đổi mật khẩu sẽ chỉ có tác dụng khiến bạn thất vọng. Khi một cuộc khủng hoảng thực sự xảy ra, bạn có thể quá kiệt sức bởi tất cả những ồn ào, hoảng sợ và cường điệu đến mức bạn có thể bỏ qua lời kêu gọi thay đổi mật khẩu của mình trong một thời điểm quan trọng. Cloudbleed không phải là thời điểm đó. Nhưng bằng mọi cách, nếu bạn thực sự cảm thấy cần phải làm như vậy, hãy thay đổi mật khẩu của bạn.
Ngoài ra, chỉ cần cảnh giác và không bỏ qua các email từ các dịch vụ bạn yêu thích. Vào thời điểm khủng hoảng xảy ra, rất có thể họ sẽ gửi cho bạn một bức thư thân thiện với tất cả những gì bạn cần biết về nó và thậm chí có thể cung cấp đề xuất về những gì bạn nên làm để đảm bảo bạn không bị ảnh hưởng.
Bạn có nghĩ rằng sự mệt mỏi về an ninh mạng có tồn tại như Steinberg gợi ý không? Mọi người có nên ở trong trạng thái cảnh giác liên tục ngay cả khi không có lời biện minh đủ mạnh cho sự hoảng loạn? Hãy cho chúng tôi biết suy nghĩ của bạn trong một bình luận!