Cloudbleed: ¿es realmente importante cambiar TODAS las contraseñas?

23

En respuesta a Google y Cloudflare revelaciones recientes de Vulnerabilidad en la nube , algunas fuentes like TNW recomienda que las personas cambien las contraseñas de los sitios y servicios que usan CloudFlare. Esto me parece una precaución razonable.

Otros recomiendan que las personas cambiar todas las contraseñas , incluso para servicios que no usan Cloudflare. Basado en lo que sabemos hasta ahora, es cierto que al principio de la investigación, esto parece una reacción exagerada.

Por lo que puedo decir, la razón es la siguiente:

  • Probablemente reutilices tus contraseñas, grande n00b. Un compromiso de su contraseña afectada por Cloudbleed comprometerá sus otras cuentas.
  • Deberías cambiar tus contraseñas a veces de todos modos. Deja de quejarte. Es bueno para ti.
  • La búsqueda en una lista de sitios afectados es realmente difícil. Es mucho más fácil simplemente cambiar todas sus contraseñas.

No cambiaré todas mis contraseñas a la ligera. Hay más de 400 sitios en mi administrador de contraseñas y no reutilizo las contraseñas. Busque algunos cientos de sitios en una lista, ya sea en Github o ¿Utiliza Cloudflare , no suena difícil en comparación con el tedioso tiempo de cambiarlos a todos.

Hasta ahora suena como si Cloudbleed causara ocasionalmente que la información de una página compatible con Cloudflare se filtre en la salida de otra página compatible con Cloudflare.

Entonces, ¿me estoy perdiendo algo? ¿Existen buenas razones basadas en la ciencia para cambiar todas las contraseñas de todos los sitios y servicios, dado lo que sabemos hasta ahora (25 de febrero de 2017)? ¿O es esta una respuesta de pánico?

    
pregunta Andy Giesler 25.02.2017 - 21:56
fuente

4 respuestas

10

Si bien Miao es el adecuado para el caso de contraseñas, esta vulnerabilidad también hace que se comprometan los touthens outh. Si un sitio dependiente de Cloudflare usa Oauth, debe realizar un paso adicional para restablecer sus sesiones dependientes de la misma en toda la web.

    
respondido por el Rápli András 25.02.2017 - 22:56
fuente
6

No hay razón para cambiar ninguna otra contraseña. El único escenario en el que puedo pensar dónde se puede requerir es el siguiente:

Un atacante aprende una contraseña para su servicio de correo. Luego, él / ella usa el servicio de correo comprometido para restablecer una contraseña de un servicio que no sea CloudFlare.

Como no pude encontrar un servicio de correo que dependiera de CloudFlare, por lo que este escenario no es probable, estoy seguro de que es una respuesta de pánico.

    
respondido por el MiaoHatola 25.02.2017 - 22:45
fuente
4

Honestamente, no creo que las personas se vean tan afectadas como algunos pueden intentar hacerte creer. La probabilidad de que exactamente se vean afectadas sus cuentas es cercana a cero.

Para ser afectado, varias cosas deben haber sucedido al mismo tiempo:

  1. Estabas navegando en uno de los sitios afectados.
  2. Un atacante intentaba al mismo tiempo recopilar datos privados emitiendo tantas solicitudes erróneas como su conexión y nube de nubes le permiten hacer
  3. El atacante aterrizó en las mismas instancias de proxy inverso a las que sus peticiones fueron atendidas anteriormente por

Las tres cosas deben haber ocurrido casi al mismo tiempo. En el punto 2, es posible que el atacante haya recopilado datos privados de algunos usuarios, pero la probabilidad de que fueras uno de ellos es bastante baja.

La razón por la que debe haber ocurrido al mismo tiempo es bastante simple. Las instancias de proxy no tienen memoria ilimitada y, por lo tanto, la memoria se reutiliza muy a menudo. Entonces, incluso si la memoria proxy contenía algunos datos confidenciales de su solicitud, una de las siguientes solicitudes de otros usuarios habría sobrescrito estos datos debido a la reutilización de la misma memoria.

Supongo que la instancia de proxy que usted y el atacante estaban usando en este momento también dependían de su ubicación geográfica y de la de los atacantes. Nunca recibí nada con la ayuda de cloudflare y nunca estudié cómo funciona su equilibrio de carga, pero asumo que siempre intentan darle una instancia de proxy que ofrezca el mejor rendimiento para la ubicación geográfica en particular. Sobre la base de esa suposición, supongo que los atacantes se limitaron a los proxies en la misma ubicación.

Además, como solo unas pocas solicitudes habrían contenido sus contraseñas (solo las solicitudes de inicio de sesión), la mayoría de los datos confidenciales filtrados solo habrían incluido tokens de sesión y cosas por el estilo. Por lo tanto, la posibilidad de que se filtren sus contraseñas se reduce aún más.

Siguiente punto: A partir de ahora, se supone que Cloudbleed no se explotó antes de que se descubriera y cerrara el agujero. Se supone que los datos filtrados residen principalmente en cachés de motores de búsqueda (y probablemente en todo lo demás en Internet que hace caché). Pero el número de solicitudes con datos filtrados que hicieron estos motores de búsqueda es bastante bajo en comparación con las solicitudes que necesita un atacante para obtener suficientes datos confidenciales y obtener TUS datos.

    
respondido por el Alexander Block 26.02.2017 - 13:39
fuente
1

Hay algunos pasos a seguir:

  1. Borra los datos de tu navegador y las cookies
  2. cierre la sesión de todos los sitios web para desactivar su sesión
  3. El sitio web afectado por la vulnerabilidad de sangrado de la nube debe notificar a todos los usuarios que cambien su contraseña. Se te obligará a cambiar tu contraseña.
  4. Configure la autenticación de dos factores lo antes posible
respondido por el GAD3R 26.02.2017 - 20:23
fuente

Lea otras preguntas en las etiquetas