Molti siti hanno diffuso dati privati per errore, incluse le password

ERCOLINO · 24 Febbraio 2017

Un baco nel servizio di distribuzione di contenuti Cloudflare ha prodotto una fuga di dati di molti siti

Dettagli

Comunicato Cloudflare

List of Sites possibly affected by Cloudflare's

Cloudflare ‘Cloudbleed’ bug impact on mobile apps: Data sample of potentially affected apps

ERCOLINO · 24 Febbraio 2017

Google trova un buco nella CDN di Cloudflare

LadyJay · 24 Febbraio 2017

Lo chiedo qui (se no l'avrei chiesto nel topic di facebook): può centrare con questa cosa qui il fatto che ho letto su facebook che, ad alcuni contatti, è stata chiesta la reimpostazione della password per accedere a facebook o può avere a che fare con il problema con google?
N.B. Tutti hanno avuto questa cosa nel tardo pomeriggio, quindi non so se sia legato al fatto di google che è successo la scorsa notte...

ERCOLINO · 24 Febbraio 2017

Non ha nulla a che fare con il problema di Google

LadyJay · 24 Febbraio 2017

ERCOLINO ha scritto:
Non ha nulla a che fare con il problema di Google

Cosa non ha a che fare con google? Il problema qui esposto o la cosa di facebook?
Perché io intendevo dire se il fatto che ad alcuni è stata chiesta la reimpostazione della password di facebook poteva avere a che fare:
1) con il problema qui esposto
2) con il problema di google
3) non c'entra niente con entrambi

ERCOLINO · 24 Febbraio 2017

Non centra nulla con entrambi

LadyJay · 24 Febbraio 2017

Ok. Strano solo che, casualmente, oggi c'è stata richiesta di nuovo accesso all'account google, richiesta di reimpostazione password di fb e questa notizia.
Però leggendo sempre su fb c'è qualcuno che ipotizza che la richiesta di reimpostazione password di fb possa avere proprio a che fare con la notizia postata anche in questo topic...

Ospite · 24 Febbraio 2017

Vedendo la lista dei siti non sono iscritto a nessuno di quelli, tuttavia sono iscritto a tanti altri siti italiani di vario genere, a questo punto posso stare tranquillo o devo reimpostare le password ovunque? :eusa_think:

Capitan_Uncino · 24 Febbraio 2017

Poco fa mi è arrivata una mail da iubenda, che mi ha avvisato di questo problema...

Questa è il contenuto:

At iubenda we provide tools that allow websites and apps to comply with the law, so we thought it would be useful for you to understand how a data leak like "CloudBleed" should be handled.

What happened
CloudFlare, a popular CDN provider used by millions of websites, had a serious security leak. According to CloudFlare, a bug caused all websites using some specific CloudFlare features to potentially leak sensitive data, including passwords.

«Is my website affected?» Most likely YES if you're using CloudFlare
If you're using CloudFlare, your website is affected if you use the following features:

Since September 22, 2016, the Automatic HTTP Rewrites feature is affected
Since January 30, 2017, the Server-Side Excludes feature is affected
Since February 13, 2017, the Email Obfuscation feature is affected

According to CloudFlare, the bug causing the leak was fixed on February 18, 2017.

Check your CloudFlare setup and assess if you have been affected and beginning when.

«What should I do if my website is affected?»
The vast majority of jurisdictions require you to notify users of a potential data leak and take all necessary actions to mitigate it.

First, you should assess what data could have leaked. If you allow users to sign up and login, this is what you should do:

Assess when the bug first affected you according to the list above
Consider expiring all login tokens for the affected period
Consider forcing all users who logged in or signed up in that time span to reset their passwords
Warn your users about what happened

«My website wasn't affected, is there anything I should do?»
It's advisable that you check this list of websites using CloudFlare and consider changing the password of any accounts you may have there.

Feel free to share our blog post on Medium via twitter or facebook, which by the way was likely affected too.

Also check out our infographic on CloudBleed and share it via twitter or facebook.

What about iubenda?
We recently moved to Akamai, but were marginally affected nonetheless. We're thus automatically requesting that a small number of our users reset their passwords.

A quando pare il bug è stato fixato il 18 febbraio...

Per fortuna non uso cloudflare, circa un mese fa avevo attivato il servizio, ma mi avevano segnalato problemi di accesso ad alcune pagine da diversi paesi europei e quindi lo disattivato... anche se sul mio spazio web non ci sono aree protette, niente password e username... per precauzione ho appena cambiato la password di accesso per la gestione, che in effetti la cambio molto spesso....

PS: questa è la lista dei possibili principali siti web coinvolti: https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

milanistaavita · 24 Febbraio 2017

qualcuno di quei siti l'ho visitato qualche volta, ma mai iscritto in essi....ad ogni modo la lista è troppo lunga da leggere :5eek:

Molti siti hanno diffuso dati privati per errore, incluse le password

ERCOLINO

ERCOLINO

LadyJay

Digital-Forum Gold Master

ERCOLINO

LadyJay

Digital-Forum Gold Master

ERCOLINO

LadyJay

Digital-Forum Gold Master

Ospite

Capitan_Uncino

Digital-Forum Gold Master

milanistaavita

Digital-Forum Friend