CloudFlare'deki güvenlik açığı milyonlarca kişinin bilgilerini sızdırdı

Eski Yazılım Neden Oldu
Yorumlar

İnternet güvenliği ve sunucu hizmeti sunan CloudFlare, 5.5 milyondan fazla web sitesiyle beraber çalışan bir internet devi ancak şirketin dün yaptığı açıklama şirketin beraber çalıştığı web sitelerini kullanan kullanıcılar için oldukça korkutucu. Şirket kullanıcılara ait önemli bilgilerin aylar boyunca sızdırılmış olduğunu açıkladı. Şirket her ne kadar sızdırma ihtimalini ortaya çıkaran güvenlik açığını kapattığını dile getirse de Google’ın güvenlik ekibine göre açık oldukça tehlikeli sonuçlara neden olmuş olabilir.

Açığın ortaya çıkmasına ve CloudFlare’in bu açıklamayı yapmak zorunda kalmasına neden olan süreç geçtiğimiz günlerde Google’ın, güvenlik açıklarını bulmak için çalışan ekibi Project Zero’da görev alan Tavis Ormandy’nin attığı tweet ile başladı. ‘’CloudFlare’in güvenliğinden biri bana acilen ulaşabilir mi’’ tweetini atan Ormandy daha sonra Uber, 1Password, FitBit, OKCupid gibi platformları kullanan kullanıcılara ait bilgilerin sızdırıldığını iddia etti.

Ormandy’nin paylaşımlarının ardından hemen kendisiyle iletişime geçen CloudFlare yetkilileri ilk olarak sorunun ortaya çıkmasına neden olduğunu düşünülen birçok özelliği devre dışı bıraktı ancak sorunun tamamen çözülmesi bir hafta kadar sürdü. Bu süreçte CloudFlare, yanlışlıkla sızdırılan veriyi önbelleklerinin bir parçası olarak saklayabilen tarayıcılardan arındırmak için Microsoft, Google ve Yahoo ile ortaklaşa çalıştı.

Eski Yazılım Neden Oldu

CloudFlare yaptığı detaylı açıklamada yeni HTML ayrıştırıcısı üzerinde çalışan mühendislerin bir hata olacağından çok endişeli olduğunu bu yüzden güvenlik sorunu içermediği doğrulamak için saatlerce testler yaptığını dile getirdi ancak açık, terk edilmek üzere olan eski yazılımdan kaynaklandı ve yaklaşık 5 ay boyunca kimse bu güvenlik açığını fark etmedi.

CloudFlare güvenlik açığının kötü niyetli kişiler tarafından kullanılmadığını yani ele geçirmeye müsait olan verilerin güvenliğini koruduğunu dile getirdi ancak buradan bir kısmına ulaşabileceğiniz, aralarında ülkemizden web siteleri de bulunan binlerce web site ,özellikle alışveriş ve seyahat siteleri olmak üzere, kullanıcılara ait pek çok hassas bilgiyi barındırıyor bu nedenle CloudFlare’in açıklamasının yüreklere su serptiğini söylemek pek mümkün değil.