27.02.2017, 13:36
Myślę, że w moim obowiązku leży poinformowaniu Was o potencjalnym wycieku poufnych danych (np. hasła) z naszego forum oraz innych stron korzystających z usług firmy Cloudflare, przesyłanych przez szyfrowane połączenia, które miały na celu zwiększenie bezpieczeństwa, a paradoksalnie zwiększyły ryzyko. Problem został wykryty przez pracownika Google i już naprawiony.
Zanim opiszę problem chciałbym oznajmić, iż nie mieliśmy na to wpływu, z usług Cloudflare korzysta cała rzesza stron w całym Internecie i istnieje małe prawdopodobieństwo wycieku Waszych danych. Niestety formalnie nie jesteśmy w stanie tego stwierdzić, więc choć problem został naprawiony przez Cloudflare, to zalecam zmianę hasła osobom, które logowały się na forum pomiędzy 22 września 2016, a 24 lutego 2017. Jeśli ktoś się w tym czasie nie logował, jego dane ze względu na charakterystykę błędu nie powinny były wyciec w żaden sposób, choć błąd istniał wcześniej.
Nasza strona, jak i rzesza innych korzysta z darmowej usługi szyfrowania danych firmy Cloudflare, która na drodze od Was do serwera pozwala zaszyfrować dane, by te nie zostały w żaden sposób przechwycone. 22 września zmieniono konfigurację pewnych narzędzi szyfrujących w Cloudflare i ujawniony został problem, który choć istniał wcześniej, to dopiero teraz pewne poufne dane mogły być przechwycone przez indeksujące je wyszukiwarki i inne strony, czy osoby świadome problemu. Pomijając aspekty techniczne, serwery Cloudflare poza żądaną stroną internetową mogły wypluć po stornie klienta dane poufne.
Osobiście poszperałem w różnych wyszukiwarkach w celu odnalezienia jakichkolwiek danych prywatnych, które mogły zostać zaindeksowane z naszej strony stosując się do fraz dotyczących problemu, ale otrzymałem tylko bark wyników, więc prawdopodobnie to nas w ogóle nie dotyczy, ale przezorny zawsze ubezpieczony, stąd ta informacja.
O szczegółach technicznych problemu można poczytać u źródła: https://bugs.chromium.org/p/project-zero...il?id=1139
Zanim opiszę problem chciałbym oznajmić, iż nie mieliśmy na to wpływu, z usług Cloudflare korzysta cała rzesza stron w całym Internecie i istnieje małe prawdopodobieństwo wycieku Waszych danych. Niestety formalnie nie jesteśmy w stanie tego stwierdzić, więc choć problem został naprawiony przez Cloudflare, to zalecam zmianę hasła osobom, które logowały się na forum pomiędzy 22 września 2016, a 24 lutego 2017. Jeśli ktoś się w tym czasie nie logował, jego dane ze względu na charakterystykę błędu nie powinny były wyciec w żaden sposób, choć błąd istniał wcześniej.
Nasza strona, jak i rzesza innych korzysta z darmowej usługi szyfrowania danych firmy Cloudflare, która na drodze od Was do serwera pozwala zaszyfrować dane, by te nie zostały w żaden sposób przechwycone. 22 września zmieniono konfigurację pewnych narzędzi szyfrujących w Cloudflare i ujawniony został problem, który choć istniał wcześniej, to dopiero teraz pewne poufne dane mogły być przechwycone przez indeksujące je wyszukiwarki i inne strony, czy osoby świadome problemu. Pomijając aspekty techniczne, serwery Cloudflare poza żądaną stroną internetową mogły wypluć po stornie klienta dane poufne.
Osobiście poszperałem w różnych wyszukiwarkach w celu odnalezienia jakichkolwiek danych prywatnych, które mogły zostać zaindeksowane z naszej strony stosując się do fraz dotyczących problemu, ale otrzymałem tylko bark wyników, więc prawdopodobnie to nas w ogóle nie dotyczy, ale przezorny zawsze ubezpieczony, stąd ta informacja.
O szczegółach technicznych problemu można poczytać u źródła: https://bugs.chromium.org/p/project-zero...il?id=1139