[Dream]

Google'ın web'in önemli bir kısmını ilgilendiren bu güvenlik açığı keşfi, ciddi endişelere neden oldu!

Google'da çalışan bir araştırmacı, 2017'nin şu ana kadarki muhtemelen en endişe verici açığını keşfetti. Açığın Uber, OkCupid, FitBit gibi büyüm web sitelerindeki özel mesajların ve diğer hassas verilerin ortaya çıkmasına neden olabileceği söyleniyor.

Bazılarının CloudLeak olarak adlandırdığı sorun, popüler web firması CloudFlare'de bulunan bir güvenlik açığından kaynaklanıyor. Sorun, 2015'te yaşanan Heartbleed hatasına benziyor ve açığın bulunduğu sunucuların bellekten rastele bölümleri geri döndürmesine izin veriyor. Sorunu daha da ciddi hale getiren bir durum ise CloudFlare'in farklı sitelere ait içerikleri tek bir sunucuda saklaması. Bu yüzden açığın bulunduğu bir web sitesine gönderilen bir istek, alakasız bir web sitesiyle ilgili bilgileri ortaya çıkarabiliyor.

Google'ın ünlü güvenlik açığı avcısı Tavis Ormandy tarafından ortaya çıkarılan sorunun detayları, buradaki kısa blog gönderisinde anlatılıyor. Ormandy, sorunu ispat etmek üzere CloudFlare üzerinde depolanan bir siteden şifreleme anahtarlarını, parolaları ve hatta HTTPS isteklerini geri getirmeyi başardı. Araştırmacıya göre CloudFlare aylardır HTTPS oturumlarını sızdırıyor ve buna Uber, 1Password, FitBit, OKCupid gibi sitelerin oturumları dahil. Bu endişe verici durumun ardından tüm parolalarınızı değiştirmek isteyebilirsiniz.

CloudFlare'in sorunu onarma çabalarına karşın Google'dan Natalie Silvanovich gibi güvenlik araştırmacıları, sorunun etkisinin ciddi olabileceğini düşünüyorlar.

Kaynak: Chip