Cloudflare là một công ty tối ưu việc phân phối nội dung (hình ảnh, video, web...) và bảo mật, họ cung cấp dịch vụ cho rất rất nhiều website lớn trên thế giới. Mới đây Cloudflare đã được thông báo về một lỗ hổng làm rò rỉ nhiều thông tin quan trọng trong quá trình truyền dữ liệu như cookie, khóa API và cả mật khẩu nữa. Hiện Cloudflare chưa phát hiện bất kì hành động sử dụng thông tin trái phép nào nhưng cảnh báo người khác có thể sẽ thấy một phần dữ liệu này khi xem các bản cache của Google và bộ máy tìm kiếm nói chung. Có một danh sách trên mạng ghi Tinh tế cũng bị ảnh hưởng vì lỗ hổng này nhưng thật ra không có. Kể từ năm ngoái Tinh tế chỉ còn dùng dịch vụ DNS của Cloudflare mà thôi. Nhóm developer đã yêu cầu gỡ và danh sách đó đã được update lại, anh em yên tâm nhé. Với những trang khác dùng Cloudflare, anh em nếu có xài thì hãy đổi password tài khoản của mình cho chắc ăn.
Người đầu tiên phát hiện ra vấn đề này là Tavis Ormandy, anh đang làm việc cho dự án bảo mật Project Zero của Google. Ormandy đã thông báo tới người chịu trách nhiệm ở Cloudflare và trong 7 tiếng sau đó lỗ hổng đã được khắc phục, Cloudflare cũng đang làm việc với các bộ máy tìm kiếm để gỡ bỏ bản cache lỗi. Nó ảnh hưởng tới những khách hàng của Cloudflare sớm nhất là từ ngày 22/9 năm ngoái tới nay. Giới bảo mật đặt nickname cho sự cố này là Cloudbleed, trong tiếng anh chữ bleed có nghĩa là rỉ ra, chảy ra.
Ormandy thì nói anh tìm thấy các mã đặt phòng khách sạn, password từ những app bảo mật, thậm chí là tin nhắn đầy đủ từ các dịch vụ hẹn hò online. "Tôi không nhận ra rằng thế giới Internet của chúng ta đang núp dưới Cloudflare nhiều tới mức nào cho tới khi tôi gặp sự việc này. Chúng ta thấy các request HTTPS đầy đủ, địa chỉ IP của khách hàng, các tin nhắn phản hồi từ server, cookie, mật khẩu, dữ liệu, tất cả mọi thứ".
Cloudflare chia sẻ nói thêm rằng việc thay đổi một số mã code của họ đã khiến 1 trên 3,300,300 request HTTP bị lỗi rò rỉ xuất phát từ 3 tính năng của công ty. Đây là con số rất lớn với một dịch vụ được nhiều website xài như Cloudflare. Thực ra lỗ hổng này đã có từ nhiều năm nay nhưng chỉ tới khi công ty kích hoạt những tính năng mới thì mới bộc lộ ra. Giải thích cho việc chậm công bố về vụ rò rỉ, Cloudflare nói họ cần tập trung khắc phục xung vấn đề nhanh nhất có thể và cũng cần phải làm việc với các bộ máy tìm kiếm trước khi công bố rộng rãi cho mọi người biết.
Một HTTP request bị rò rỉ của Fitbit thông qua Cloudflare
Ormandy thì nói anh tìm thấy các mã đặt phòng khách sạn, password từ những app bảo mật, thậm chí là tin nhắn đầy đủ từ các dịch vụ hẹn hò online. "Tôi không nhận ra rằng thế giới Internet của chúng ta đang núp dưới Cloudflare nhiều tới mức nào cho tới khi tôi gặp sự việc này. Chúng ta thấy các request HTTPS đầy đủ, địa chỉ IP của khách hàng, các tin nhắn phản hồi từ server, cookie, mật khẩu, dữ liệu, tất cả mọi thứ".
Cloudflare chia sẻ nói thêm rằng việc thay đổi một số mã code của họ đã khiến 1 trên 3,300,300 request HTTP bị lỗi rò rỉ xuất phát từ 3 tính năng của công ty. Đây là con số rất lớn với một dịch vụ được nhiều website xài như Cloudflare. Thực ra lỗ hổng này đã có từ nhiều năm nay nhưng chỉ tới khi công ty kích hoạt những tính năng mới thì mới bộc lộ ra. Giải thích cho việc chậm công bố về vụ rò rỉ, Cloudflare nói họ cần tập trung khắc phục xung vấn đề nhanh nhất có thể và cũng cần phải làm việc với các bộ máy tìm kiếm trước khi công bố rộng rãi cho mọi người biết.
Một HTTP request bị rò rỉ của Fitbit thông qua Cloudflare
Nguồn: The Verge