C’è parecchio panico in Rete per una falla di sicurezza molto estesa che è stata battezzata Cloudbleed. Provo a riassumere qui le cose essenziali da sapere.
Se avete moltissima fretta
Ê possibile che le vostre password e alcuni vostri dati personali siano stati disseminati pubblicamente per mesi a causa di un errore tecnico della società Cloudflare, usata da molti dei più diffusi servizi di Internet. La falla è stata corretta, ma in Rete ne restano dei residui.
Vi conviene cambiare tutte le password dei servizi online che usate e sui quali non non avete già attivato la verifica in due passaggi (autenticazione a due fattori). Cogliete quest’occasione per attivarla. Se vi sembra una raccomandazione troppo drastica, leggete i dettagli qui sotto. Non dite che non siete stati avvisati.
Questo problema non ha a che fare con i problemi avuti da molti utenti i cui account Google hanno dato strani messaggi di errore nei giorni scorsi.
Le password di 1Password non sono state violate, dice AgileBits (che gestisce 1Password).
Se avete meno fretta
L’esperto di sicurezza Tavis Ormandy (del Project Zero di Google) ha scoperto a metà febbraio scorso una grave falla nel software usato dalla società Cloudflare, alla quale si appoggiano per la distribuzione e la protezione dei contenuti molti dei nomi più popolari di Internet, come Uber, OKCupid, 1Password.
Questa falla ha disseminato per mesi, rendendoli visibili a chiunque, “messaggi privati di importanti siti d’incontri, messaggi completi provenienti da un noto servizio di chat, dati di gestori online di password, fotogrammi da siti per adulti, prenotazioni di alberghi. Stiamo parlando di richieste https integrali, indirizzi IP dei client, risposte complete, cookie, password, chiavi, dati, tutto”, ha scritto Ormandy, mostrando esempi come quello che ho incluso all’inizio di questo articolo e che riguarda Uber. Qui sotto ne vedete un altro, riferito a FitBit.
Cloudflare si è subito adoperata per risolvere il problema, che ora non si ripresenta più. La parte difficile è fare pulizia online dei dati disseminati in Rete, che sono reperibili nelle cache di Google e di altri motori di ricerca, anche se è in corso una purga a tappeto. Secondo Motherboard, questa purga non è stata completa, per cui è tuttora possibile trovare dati personali con un’apposita ricerca in Google.
La spiegazione tecnica dettagliata di Cloudflare è qui. La spiegazione semplificata di Gizmodo è questa: “il software di Cloudflare cercava di salvare i dati degli utenti nel posto giusto, che però si riempiva completamente. Così il software finiva per salvare i dati altrove, per esempio in un sito completamente diverso... I dati sono finiti nella cache di Google e di altri siti, per cui Cloudflare deve cercarli tutti prima che li trovino i criminali informatici.”
The Register riassume bene così: “a causa di un errore di programmazione, per vari mesi i sistemi di Cloudflare infilavano pezzi casuali di memoria dei server nelle pagine Web... visitando un sito Web gestito tramite Cloudflare poteva capitare di trovare pezzi del traffico Web di qualcun altro appiccicati in fondo alla pagina del browser... Immaginate di sedervi al ristorante, a quello che in teoria sarebbe un tavolo pulito, ma insieme al menu trovate anche il contenuto del portafogli del cliente precedente.”
L’esatta portata del danno (quali e quanti siti supportati da Cloudflare hanno subìto emorragie di dati riservati) non è ancora nota, scrive Gizmodo citando l’azienda, ma i siti coinvolti sono almeno 150. Se volete sapere se i siti che usate adoperano i servizi di Cloudflare e quindi potrebbero essere a rischio, immettete i loro nomi in Doesitusecloudflare.com. Non risulta, al momento, che criminali informatici abbiano utilizzato i dati diffusi per errore.
Ulteriori dettagli sono (in inglese) su Ars Technica.