Lỗ hổng Cloudbleed nguy hiểm thế nào?

19/10/2019

Lỗ hổng mới có tên Cloudbleedgần giống với lỗ hổng Heardbleed được phát hiện vào năm 2014 nhưng có mức độ nguy hiểm cao hơn.

Theo Android Central, ngày 17/2, nhà nghiên cứu Tavis Ormandy, thuộc nhóm bảo mật Project Zero của Google, đã thông báo và một vụ rò rỉ dữ liệu từ CloudFlare, nhà cung cấp mạng truyền tải nội dung (CDN) và đảm bảo an toàn  cho hơn 5,5 triệu website trên Internet. Ormandy nhanh chóng liên lạc với CloudFlare và tình hình đã được khắc phục trong vòng chưa đầy một giờ.

Cloudbleed nguy hiểm thế nào

Sẽ thật nghiêm trọng nếu các dữ liệu riêng tư bị lộ. Đặc biệt là với dịch vụ có hơn một tỷ người sử dụng. Bản báo cáo từ CloudFlare đã cho thấy cụ thể những gì đã xảy ra. Những dữ liệu riêng tư có thể được tìm thấy bởi các công cụ tìm kiếm. Nhưng khóa riêng tư SSL của người dùng không hề bị rò rỉ.

Cloudflare đóng vai trò như một proxy giữa người dùng và máy chủ web, làm bộ đệm cho các website trong mạng,  giúp tăng tốc và đảm bảo an toàn cho các website. Ormandy đã phát hiện một lỗ hổng tràn bộ đệm tại một máy chủ Cloudflare, trả về kết quả bộ nhớ chứa thông tin riêng tư như HTTP cookie, token xác thực, HTTP POST và một số dữ liệu khác.

Bạn sẽ tìm thấy một danh sách các trang web có khả năng bị ảnh hưởng bởi dịch vụ CloudFlare. Danh sách các webiste có nguy cơ bị ảnh hưởng được đăng tải bởi người dùng trên GitHub bao gồm CoinBase, 4Chan, BitPay, DigitalOcean, Medium, ProductHunt, Transferwise, The Pirate Bay, Extra Torrent, BitDefender, Pastebin, Zoho, Feedly, Ashley Madison, Bleeping Computer, The Register…

Nhiều ứng dụng di động được phát hiện đang sử dụng dịch vụ của CloudFlare. Một số khách hàng lớn của CloudFlare bị ảnh hưởng bao gồm Uber, 1Password, FitBit và OKCupid

Android Central đã thử liên hệ với CloudFlare và nhận được thông báo rằng website này không bị nằm trong danh sách các trang web bị ảnh hưởng. CloudFlare cho biết đã phát hiện dữ liệu có thể đã được lưu trữ trong bộ nhớ cache của dịch vụ bên thứ ba. Hãng cho hay các lỗ hổng đã được vá không còn có thể rò rỉ dữ liệu nữa. CloudFlarevẫn đang tiếp tục làm việc với các bộ cahe để đánh giá về các bản ghi nhằm giúp họ lấy lại những dữ liệu quan trọng. "Nếu chúng tôi phát hiện ra các dữ liệu bị rò rỉ từ tên miền của bạn, chúng tôi sẽ trực tiếp trao đổi và cung cấp đầy đủ chi tiết về những gì chúng tôi đã tìm thấy", CloudFlare trả lời Android Central.

Người dùng nên làm gì để tăng cường bảo mật?

Đầu tiên bạn cần thay đổi mật khẩu cho tất cả các tài khoản trực tuyến của mình. Hãy sử dụng chương trình quản lý mật khẩu để tạo ra các mật khẩu mạnh và khó bị đánh cắp hơn. Nếu chưa từng sử dụng chương trình quản lý mật khẩu thì đây là thời điểm thích hợp để bạn cài đặt nó. Cần nhớ rằng bạn nên thay đổi mật khẩu thường xuyên, hãy sử dụng phần mềm quản lý mật khẩu nếu bạn có nhiều tài khoản cần ghi nhớ.

Nếu bạn đã kích hoạt tính năng bảo mật bằng xác thực hai yếu tố, một kẻ khác dù biết mật khẩu cũng khó có thể truy cập tài khoản của bạn. Xác thực hai yếu tố có thể khiến bạn tốn thời gian hơn, nhưng đó là cách tốt để bảo vệ mình trước các vụ rò rỉ dữ liệu lớn trong thời gian gần đây.

VnReview

 

Tin liên quan

11/12/2023

Trung tâm dữ liệu Hoà Lạc Viettel IDC nhận Danh hiệu Năng lượng xanh 5 sao

Viettel IDC nằm trong danh sách “Danh hiệu năng lượng xanh 5 sao dành cho 07 cơ sở sử dụng năng lượng trọng điểm trong công trình xây dựng.

12/11/2023

HTML là gì? Nguyên lý hoạt động của HTML trong việc xây dựng website

HTML là gì là câu hỏi được khá nhiều người quan tâm. Thực tế, HTML đóng vai trò quan trọng trong việc hình thành cấu trúc, giao diện của nhiều loại trang web và ứng dụng trực tuyến, giúp cải thiện trải nghiệm người dùng trên Internet.

10/11/2023

Tấn công DDoS là gì? Cách phát hiện và ứng phó với cuộc tấn công DDoS

Trong thời đại công nghệ hiện nay, mạng xã hội kỹ thuật số đã mở ra nhiều cơ hội nhưng cũng hình thành những rủi ro, trong đó có thể kể đến tấn công DDoS.

08/11/2023

Những điểm mới của Luật Giao dịch điện tử 2023

Để tạo hành lang pháp lý vững chắc, giúp các doanh nghiệp Việt Nam có đủ cơ sở để thực hiện công cuộc số hóa nêu trên, ngày 22/6/2023, Quốc hội đã thông qua Luật Giao dịch điện tử số 20/2023/QH15 kế thừa có sửa đổi, bổ sung Luật Giao dịch điện tử 2005.

24/11/2023

Viettel IDC xây dựng giải pháp email server trên AWS cho Viettel Post

Với mục đích nâng cao chất lượng dịch vụ, chú trọng đến trải nghiệm của người dùng, Viettel Post đã bắt đầu thúc đẩy ứng dụng công nghệ vào các hoạt động vận hành, quản lý, trong đó không thể không nhắc đến việc tích hợp các giải pháp tiên tiến vào hệ thống gửi email hóa đơn điện tử cho khách hàng.

22/11/2023

Live Streaming và mối liên kết không thể thiếu với công nghệ CDN

Live streaming đã trở thành xu hướng, được phát triển mạnh mẽ trong thời gian gần đây. Hình thức này cho phép người dùng chia sẻ những trải nghiệm trực tiếp, tương tác với khán giả và truyền tải thông tin một cách nhanh chóng. Tuy nhiên, đã bao giờ bạn thắc mắc, để đảm bảo một buổi phát sóng không gặp sự cố gián đoạn hoặc độ trễ thì công nghệ nào sẽ gián tiếp hỗ trợ?

15/11/2023

Tham gia Tiếp thị liên kết dễ dàng - Tăng thu nhập không giới hạn cùng Viettel IDC

Với việc trở thành Đối tác Tiếp thị liên kết của Viettel IDC (Publisher), bạn sẽ có cơ hội gia tăng thu nhập thụ động không giới hạn với mức hoa hồng lên đến 4% tổng giá trị đơn hàng.

03/11/2023

Tích hợp ESG vào chiến lược phát triển trung tâm dữ liệu bền vững

Ngày càng có nhiều các doanh nghiệp trong nước, bao gồm cả các nhà cung cấp dịch vụ trung tâm dữ liệu, đẩy mạnh đầu tư vào các giải pháp chuyển dịch sang năng lượng sạch, thúc đẩy hoạt động kinh doanh bền vững...

03/11/2023

Green Cloud: Hiện thực hóa hành trình phát triển bền vững của doanh nghiệp

​So với giải pháp truyền thống hiện nay, giải pháp máy tính ảo trên đám mây giúp tiết kiệm năng lượng hơn 93% so với cơ sở hạ tầng thông thường.

23/09/2023

Dịch vụ Cloud Server - Sự lựa chọn hoàn hảo cho các doanh nghiệp startup

Với dịch vụ Cloud Server, doanh nghiệp có thể giảm chi phí hiệu quả, tận dụng tính linh hoạt để mở rộng tài nguyên khi cần, đồng thời đảm bảo độ bảo mật thông tin tối đa.

// doi link