Сервіс Cloudflare, що надає послуги оптимізації і захисту трафіку, повідомив, що через випадкову помилку стався витік даних клієнтів.

Втім, баг виявив співробітник Google Тевіс Орманді. Він працював над власним проектом і помітив, що при зверненні до Cloudflare сервіс повертає не тільки дані за запитом, але і дані інших ресурсів, в тому числі API-ключі, файли cookie, паролі, особисті повідомлення з великих сайтів знайомств, кадри з веб-чатів, дані кредитних карток тощо. Помітивши баг, Орманді звернувся до розробників сервісу.

У Cloudflare провели розслідування і підтвердили, що баг таки є. Причина витоку – в підключенні до сервісу AMP (Accelerated Mobile Pages) – розробки Google, що поліпшує швидкість завантаження сторінок в мережі. Під час підключення відбувався збій: сторінки створювалися з помилками, оскільки деякі з функцій Cloudflare не були оптимізовані під нову технологію. В результаті частина даних з таких сторінок відправлялася з серверів компанії в пошукові системи.

На HitHub виклали список з усіма сайтами, які могли постраждати, а це понад 4,2 млн ресурсів. Серед них є і українські. Зокрема, у AIN нарахували більше 7 тис. сайтів з доменним ім’ям .ua.

Постраждати могли і відомі компанії та бренди, зокрема Fitbit, Uber і OKCupid. Наприклад, фрагмент інформації про поїздку Uber чи пароль з цього сервісу міг потрапити в код іншого сайту, не пов’язаного із Uber.

Наразі помилка виправлена. Однак, як повідомили у Cloudflare, частина інформації встигла просочитися в кеш пошукових систем, тому представники сервісу звернулися до Google, Bing, Yahoo та інших компаній, аби в разі необхідності вручну усунути наслідки ймовірної витоку.

У компанії радять змінити паролі до електронної пошти, соцмереж та популярних онлайн-сервісів.

Як відомо, у квітні 2016-го Cloudflare відкрила свій дата-центр в Києві.

Нагадаємо, через одрук в коді криптовалюти хакери вкрали $680 тис.