Cloudflare Leaks Sensitive User Data Across the Web

> wget -q https://github.com/pirate/sites-using-cloudflare/archive/master.zip
> unzip master.zip
> grep .hu$ sites-using-cloudflare-master/sorted_unique_cf.txt > sorted_unique_cf_HU.txt

> wget -q https://s3.amazonaws.com/alexa-static/top-1m.csv.zip
> unzip top-1m.csv.zip
> grep .hu$ top-1m.csv|cut -d',' -f2 > top-1m_HU.txt

> while read oneline; do grep "^${oneline}$" sorted_unique_cf_HU.txt; done < top-1m_HU.txt > talalat.txt
> wc -l talalat.txt
138 talalat.txt
> grep -i password sites-using-cloudflare-master/sorted_unique_cf.txt | wc -l
170
> grep -i password sites-using-cloudflare-master/sorted_unique_cf.txt | grep -i gen | wc -l
21
>

Hozzászólások

Rövid olvasgatás után elég sok kérdés merült fel bennem, többek arról irnak, hogy a CloudFlare Flexible SSL-nek hála gyakorlatilag ez még csak a jéghegy csúcsa, és hogy a centralizációnak nagyjából itt kéne vége legyen.

Érdekes. (nincs semmilyen szolgáltatásom cloudflare-re kötve, és talán olyan partnerünk sincs, akire cloudflare-ren keresztül kapcsolódunk)

Subscribe. Ez azért elég gáz. (de legalább újra lesz történelmi példám a "dehátacloudbittonságosmertakkorahogyottkellabiztonság" érvrendszer ellen...)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

„Az internetes nép zivataros századaiból.” – Etalon Musk

Lassan már egy digitális britnek érzem magam, aki másról sem képes egész nap beszélni, mint hogy milyen volt az időjárás, avagy hol és milyen erősségű volt az adat-eső.

Arra azért kíváncsi lennék, hogy a WebArchive és a Google Cache miképp kezeli ezt a helyzetet.

A linkelt issue-nál taviso több hozzászólásban írja, hogy keresgélik és törlik őket. (ill. kaptak listát a Cloudflare-sektől is, hogy mik lehettek érintettek).

WebArchive szvsz. (sőt: remélem) elvből sem foja törölni, max. nem teszik ki publikusan.

Többi search engine/crawler/akármi passz.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"It became clear after a while we were looking at chunks of uninitialized memory interspersed with valid data. The program that this uninitialized data was coming from just happened to have the data I wanted in memory at the time. That solved the mystery, but some of the nearby memory had strings and objects that really seemed like they could be from a reverse proxy operated by cloudflare - a major cdn service."

Szerintem most kellene elfelejteni ezt a C-ben programozunkos dolgot...

Kérdésem, hogy ilyen hibák (vagy mint a heartbleed bug) kiderülnének egy pentest audit során? Azt gondolnám hogy nagyobb eséllyel igen.