Cloudflare öryggisatviksskýrsla

Mikilvæg öryggistilkynning:

Eins og þú kannski veist, notar Vultr CDN vöru Cloudflare til að auka hraða vefsíðu okkar um allan heim og vernda gegn ýmsum illgjarnum árásum á síðuna okkar.

Cloudflare opinberaði nýlega öryggisveikleika sem gæti hafa leitt til einkagagna frá síðum þar sem gögnin eru á bak við Cloudflare CDN. Samkvæmt öryggisteymi Cloudflare var mesta áhrifatímabilið frá 13. febrúar og 18. febrúar með um 1 af hverjum 3.300.000 HTTP beiðnum í gegnum Cloudflare sem gæti leitt til minnisleka. Þó Cloudflare lagaði vandamálið sem uppgötvaðist fljótt, var mögulegt að viðkvæmum gögnum hafi verið lekið til leitarvéla þriðja aðila sem geyma gögn eins og Google.com.

Cloudflare hefur unnið með öryggisteyminu frá Google við að leita í skyndiminni gögnum fyrir viðeigandi Vultr hlekki og hefur staðfest að engin gögn hafi fundist. Byggt á þessu höfum við enga ástæðu til að ætla að einhverjar upplýsingar Vultr viðskiptavina hafi verið í hættu með þessari Cloudflare villu.

Þetta er gott tækifæri til að minna þig á bestu öryggisvenjur til að tryggja reikninginn þinn:

• Virkjaðu 2 þátta auðkenningu fyrir aðalinnskráningu vultr.com reikningsins þíns.
• Breyttu lykilorði stjórnborðsins á 90 daga fresti (eða minna).
• Breyttu alltaf sjálfgefnu lykilorði þínu tilviks eftir fyrstu uppsetningu.
• Ef þú notar API þjónustuna skaltu ganga úr skugga um að API IP ACLs þín séu rétt stillt.
• Skannaðu tölvuna þína reglulega eftir spilliforritum, njósnaforritum, vafraviðbótum og Virii sem gætu komið í veg fyrir eða lekið einkaupplýsingum.

Við munum halda áfram að fylgjast náið með ástandinu og vera í nánu sambandi við Cloudflare ef einhverjar breytingar verða á staðreyndum sem við höfum fengið hingað til. Öryggi reikningsins þíns er forgangsverkefni okkar hér á Vultr.

Viðbótarupplýsingar um bakgrunn:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139