Selama beberapa bulan terakhir, bug di layanan Cloudflare yang populer mungkin telah memaparkan data pengguna yang sensitif - termasuk nama pengguna, kata sandi, dan pesan pribadi - ke dunia dalam teks biasa. Tapi seberapa besar masalah ini, dan apa yang harus Anda lakukan?
Cloudflare adalah layanan yang menawarkan fitur keamanan dan kinerja (antara lain) ke jaringan situs web yang luas. Ini bertindak sebagai proxy terbalik, perantara antara Anda-pengguna-dan situs web yang diberikan. Ketika Anda mengunjungi situs itu, Anda akan diarahkan ke salah satu server Cloudflare alih-alih server situs yang sebenarnya.
Hal ini memungkinkan Cloudflare untuk memastikan Anda adalah pengguna yang sah (dengan demikian melindungi terhadap penolakan serangan layanan), memuat situs lebih cepat (karena mereka sudah cache bagian tertentu dari situs), dan melindungi terhadap downtime (karena mereka memiliki banyak server di seluruh dunia dan dapat kembali ke server mana pun jika ada masalah).
Cloudflare memastikan penyerang DDoS tidak mendapatkan lalu lintas mereka melalui ke situs web yang sebenarnya. Singkatnya: Cloudflare bertujuan untuk membuat situs lebih cepat dan lebih aman, dan ini adalah layanan yang digunakan banyak situs web.
Sayangnya, tidak ada yang 100% aman, bahkan jika situs menggunakan layanan seperti Cloudflare, dan bug terjadi. Dalam hal ini, Cloudflare sebenarnya disebabkan masalah keamanan: bug dalam kode proxy terbalik yang mem-parsing HTML menyebabkan server Cloudflare bocor konten memorinya dalam keadaan tertentu. (Beberapa orang mengacu pada ini sebagai "Cloudbleed", sebuah permainan dari bug Heartbleed yang juga mempengaruhi sebagian besar internet.)
Data ini dapat mencakup semua jenis data sensitif, termasuk nama pengguna, kata sandi, pesan pribadi, token OAuth, dan banyak lagi. Lebih buruk lagi, beberapa data itu diindeks dan di-cache oleh beberapa mesin pencari (sekitar 700 halaman, menurut Cloudflare), jadi jika Anda tahu apa yang harus dicari di Google, Anda bisa menemukan data sensitif dari pengguna yang masuk pada saat tertentu kebocoran.
Jika Anda tahu apa yang harus dicari, Anda dapat menemukan beberapa informasi bocor Cloudflare di mesin pencari. Bug ini tidak ditemukan selama sekitar lima bulan, dan ditambal setelah ditemukan minggu ini. Cloudflare mengatakan "periode dampak terbesar adalah dari 13 Februari dan 18 Februari dengan sekitar 1 dari setiap 3.300.000 permintaan HTTP melalui Cloudflare berpotensi mengakibatkan kebocoran memori (itu sekitar 0,00003% dari permintaan)."
Namun dengan layanan sepopuler Cloudflare, 0,00003% masih banyak. Beberapa orang telah menyusun daftar situs yang menggunakan Cloudflare, dan itu mencakup lebih dari 4 juta domain-termasuk Yelp, OkCupid, Uber, Authy, Medium, dan masih banyak lagi. (Beberapa aplikasi seluler juga terpengaruh.)
Anda dapat membaca lebih lanjut tentang rincian teknis bug ini di blog Cloudflare, meskipun mungkin hanya akan menarik bagi Anda jika Anda seorang programmer - jika Anda pengguna internet biasa, satu-satunya hal yang perlu Anda ketahui adalah ...
Pertama: jangan terlalu panik. Tidak setiap situs dalam daftar itu yang berisi 4 juta orang harus membocorkan informasi sensitif - jika sebuah situs hanya menggunakan Cloudflare untuk menyimpan data gambar, misalnya, tidak akan ada informasi sensitif yang bocor. Dan tidak seperti setiap kebocoran adalah daftar induk kata sandi - itu adalah potongan informasi acak, yang bisa telah memasukkan beberapa nama pengguna acak dan kata sandi pada waktu tertentu.
Namun, Cloudflare juga mencatat bahwa salah satu kunci pribadi mereka bocor, yang akan memberikan akses penyerang ke banyak data Cloudflare internal - termasuk, berpotensi, nama pengguna dan kata sandi. Cloudflare sangat tidak jelas tentang poin khusus ini, meskipun itu merupakan risiko keamanan utama dengan potensi bocornya informasi yang lebih sensitif
Semua yang dikatakan, tidak ada cara nyata untuk mengetahui apakah ada data Anda yang bocor dan di mana, jadi satu-satunya tindakan yang aman sekarang adalah ubah semua kata sandi Anda. (Tentu, Anda bisa melihat daftar 4 juta situs dan hanya mengubah yang digunakan oleh Cloudflare, tapi jujur, itu mungkin akan lebih mudah dan lebih cepat untuk mengubah semuanya.)
Aturan umum dengan kata sandi berlaku di sini: jangan gunakan kata sandi yang sama di beberapa situs, gunakan pengelola kata sandi seperti LastPass, dan aktifkan otentikasi dua faktor untuk setiap situs yang mengizinkannya. Jika Anda tidak melakukan hal-hal ini, bug Cloudflare mungkin adalah yang paling Anda khawatirkan - setelah semua, situs diretas setiap saat, dan jika Anda menggunakan kata sandi yang sama di mana pun, semua data Anda secara teratur berisiko.
Jika Anda sudah menggunakan pengelola kata sandi, proses ini harus mudah (jika agak panjang dan membosankan). Tapi kamu harus terbiasa dengan tarian ini sekarang.
