Cloudbleed: o que você precisa saber e o que precisa fazer

Índice:

O que devo fazer
Alterar a senha de todas as suas contas online
Habilite a autenticação de dois fatores em todas as contas disponíveis como opção

Em 17 de fevereiro de 2017, o pesquisador de vulnerabilidades do Project Zero Tavis Ormandy, do Google, encontrou o que parecia um vazamento de dados realmente desagradável da Cloudflare, uma empresa de desempenho e segurança na Web. Ele rapidamente contatou as pessoas "certas" da Cloudflare e a situação foi resolvida em menos de uma hora.

Qualquer violação de dados pode ser significativa. Especialmente quando um serviço tem mais de um bilhão de usuários. Direcionaremos você para o relatório de incidentes do Cloudflare para obter todos os detalhes do que aconteceu (aviso: é bastante técnico). Em termos leigos, vazaram dados potencialmente sensíveis. Esses dados estavam disponíveis para qualquer pessoa, mesmo as aranhas da web usadas pelos mecanismos de pesquisa. Chaves SSL não foram vazadas.

Os recursos do Cloudflare que usavam o analisador HTML afetado (ofuscação de email, exclusões no servidor e regravações automáticas de HTTPS) estavam sendo usados por muitas empresas. Empresas mais prováveis com as quais você tem contas online, isso significa que seus dados podem ter sido expostos.

O Mobile Nations usa alguns dos serviços do Cloudflare. De fato, você nos encontrará na lista flutuando nos sites potencialmente afetados. Verificamos que os serviços afetados não estão em uso nem nunca foram usados em sites de nações móveis.

Após a investigação, os recursos por trás do #Cloudbleed (ofuscação de email, SSE, regravações HTTPS) nunca estiveram ativos nos sites @MobileNations
- Marcus Adolfsson (@madolfsson) 24 de fevereiro de 2017

Também recebemos um aviso da Cloudflare sobre o vazamento e eles disseram o seguinte:

Seu domínio não é um dos domínios em que descobrimos dados expostos em caches de terceiros. O bug foi corrigido e, portanto, não está mais vazando dados. No entanto, continuamos trabalhando com esses caches para revisar seus registros e ajudá-los a limpar quaisquer dados expostos que encontrarmos. Se descobrirmos algum dado vazado sobre seus domínios durante esta pesquisa, entraremos em contato com você diretamente e forneceremos detalhes completos do que descobrimos.

Procure uma declaração semelhante de outros lugares com os quais você possui uma conta para obter informações sobre seus dados que possam ter sido expostos.

O que devo fazer

Como a maioria das grandes instâncias de segurança, nunca saberemos todos os detalhes do que foi e não foi divulgado. Podemos confirmar que não estamos usando os serviços mencionados como vulneráveis, mas não sabemos como mais alguma coisa nos servidores do Cloudflare pode ter sido afetada. Todo cliente Cloudflare está no mesmo barco.

Isso significa que é hora de você ser proativo.

Alterar a senha de todas as suas contas online

Sim, isso é péssimo, mas sabe o que é mais chato? Ter alguém para obter seus detalhes e ter acesso a coisas que você não deseja que tenham acesso. Use um gerenciador de senhas e deixe que ele crie senhas malucas e lembre-se delas se você não tiver sua própria rotina de gerenciamento de senhas. Se você não usou um gerenciador de senhas no passado, mas queria conferir um, agora é o momento perfeito.

Mais: Melhores gerenciadores de senhas para Android

Agora também é um bom momento para lembrar que você deve alterar suas senhas regularmente, o que torna um gerenciador de senhas obrigatório se você tiver muitas contas.

Habilite a autenticação de dois fatores em todas as contas disponíveis como opção

Se você tiver a autenticação de dois fatores ativada, outra pessoa com seus detalhes de login ainda não poderá acessar sua conta. Às vezes, a autenticação de dois fatores também pode ser um problema, mas é a melhor maneira de se proteger quando uma violação de grandes dados acontece, como a que estamos vendo agora.

Aqui estão alguns recursos na autenticação de dois fatores.