Ошибка в CloudFlare раскрывала конфиденциальные данные пользователей

Сегодня мы расскажем вам об ошибке, найденной в Cloudflare, которая передавала личные данные пользователей (пароли, cookies и прочее) с сайтов партнёров.

CloudFlare – крупнейшая сеть доставки контента. Выступает посредником между сайтом и пользователем, который защищает сервера клиентов (то есть сайтов-партнеров) и ускоряет загрузку страниц для пользователей.

Что случилось?

Ошибка возникла в коде HTML-парсера, который Cloudflare использует для повышения производительности сайта. При подключении сервиса AMP (Accelerated Mobile Pages) от Google, позволяющего ускорить загрузки страниц в сети, произошел сбой (три функции CloudFlare не были оптимизированы под парсер). В итоге уязвимость в коде привела к тому, что кто угодно мог получить доступ к персональным данным, которые пользователи оставляли на сайтах. Сейчас ошибка исправлена.

Это затронуло Adguard?

Как сообщили CloudFlare, по их данным, наш домен не найден в списке пострадавших. А значит, ваши пароли и адреса электронной почты, которые вы вводили на нашем сайте - в целости и сохранности. Однако, мы рекомендуем вам поменять пароль к личному кабинету Adguard в качестве меры предосторожности.

UPD:
CloufFlare поделились новой информацией: в логах не найдено доказательств того, что этой уязвимостью воспользовались третьи лица;
данные большинства пользователей Cloudflare в безопасности;
при анализе десяток тысяч страниц с раскрытыми данными, в них были найдены хэдеры CloudFlare и cookies клиентов, а такая информация как пароли, данные карт и прочее - не обаружена.