เว็บไซต์จำนวนมากที่น่าประหลาดใจใช้พร็อกซีย้อนกลับและบริการบรรเทา DDoS เช่น Cloudflare (เช่น Reddit) เพื่อปกป้องพวกเขาจากภัยพิบัติที่สำคัญและเปิดไฟอย่างสม่ำเสมอ บริการเหล่านี้มักจะทำตลาดตัวเองว่าเป็นผู้ให้บริการด้านความปลอดภัยและการเพิ่มประสิทธิภาพ
ทว่าในวันที่ 17 กุมภาพันธ์ 2017 นี้ ข้อผิดพลาดที่สำคัญในซอฟต์แวร์ของ Cloudflare ทำให้ข้อมูลส่วนตัวจำนวนมหาศาลจากเว็บไซต์นับล้านสามารถเข้าถึงได้ทุกเวลา ข้อมูลบางส่วนยังปรากฏบนสำเนาแคชของเว็บไซต์ที่แสดงในผลการค้นหาของ Google เหตุการณ์พิเศษนี้ซึ่งเป็นที่รู้จักในชื่อ Cloudbleed ได้นำเสนอโอกาสอันมีค่าสำหรับการอภิปรายเกี่ยวกับการใช้เทคโนโลยีอย่างปลอดภัย
นี่คืออะไร!
สำหรับผู้ที่ไม่ได้ฝึกหัด Cloudflare เป็นบริการที่ทำหน้าที่เป็นตัวกลางระหว่างเว็บไซต์ของคุณกับอินเทอร์เน็ตในวงกว้าง เมื่อคุณไปที่ไซต์ที่ใช้บริการ คุณกำลังเชื่อมต่อกับ Cloudflare ซึ่งเชื่อมต่อกับไซต์และถ่ายทอดผลลัพธ์ไปยังคุณ มันจะแคชหน้าที่เข้าชมบ่อยกว่าบางหน้าเพื่อให้ไซต์ไม่ต้องตอบกลับทุกครั้งที่มีคนเชื่อมต่อ ซึ่งจะช่วยลดผลกระทบที่ปริมาณการรับส่งข้อมูลจำนวนมากมีบนเซิร์ฟเวอร์ภายใน นอกจากนี้ยังช่วยลดผลกระทบจากการโจมตีด้วยการปฏิเสธการให้บริการ (DDoS) แบบกระจายบนไซต์ของคุณ เนื่องจากมีพ่อค้าคนกลางที่สามารถขัดขวางความรุนแรงของการโจมตีเหล่านี้ได้ โดยทำหน้าที่เป็นสัญญาณไฟจราจรที่ช่วยให้ผู้เยี่ยมชมที่ถูกต้องตามกฎหมายสามารถผ่านและหยุดบ็อตได้ . Cloudflare และบริการ reverse proxy อื่นๆ (เช่น Incapsula และ Akamai) มักจะทำการตลาดให้ตัวเองเป็นผู้จัดหาความปลอดภัยของเว็บไซต์
Cloudbleed คืออะไร
Cloudbleed เป็นเหตุการณ์ที่มีการค้นพบจุดบกพร่องในซอฟต์แวร์ของ Cloudflare โดยสมาชิกของทีม Project Zero ของ Google ซึ่งเปิดเผยข้อความส่วนตัวจากเว็บไซต์หลัก ข้อมูลตัวจัดการรหัสผ่านออนไลน์ และคำขอ HTTPS แบบเต็มจากเซิร์ฟเวอร์อื่นๆ การตอบสนองของ Cloudflare ต่อคำขอเชื่อมต่อมักจะเกินพื้นที่บัฟเฟอร์ที่จัดสรรไว้และนำเสนอข้อมูลจากลูกค้ารายอื่นที่เข้าถึงเว็บไซต์ ณ เวลานั้น โดยปล่อยให้ทุกอย่างเปิดเผยและนำเสนอความเสี่ยงด้านความปลอดภัยที่ร้ายแรงสำหรับทุกคนที่ใช้หรือเป็นเจ้าของเว็บไซต์ที่พึ่งพาบริการ
ข้อบกพร่องได้รับการแก้ไขเมื่อปลายเดือนกุมภาพันธ์ แม้ว่าบริการจะยอมรับว่าข้อมูลรั่วไหลอาจเกิดขึ้นเร็วที่สุดเท่าที่มีการเปิดตัวโปรแกรมแยกวิเคราะห์ HTML ใหม่ในวันที่ 22 กันยายน 2016
บทเรียนที่ได้รับ
หากคุณอ่านเรื่องราวของเรามาระยะหนึ่งแล้ว คุณอาจจำเหตุการณ์ที่คล้ายกันมากที่เรียกว่า Heartbleed ในปี 2014 ซึ่งเว็บไซต์ที่ใช้ OpenSSL เสี่ยงต่อการถูกโจมตีซึ่งอาจทำให้ข้อมูลส่วนตัวบางส่วนถูกเปิดเผยต่อบุคคลที่สอดแนม สิ่งนี้ร่วมกับ Cloudbleed kerfuffle ล่าสุดสอนบทเรียนอันมีค่าแก่เรา:ไม่มีสิ่งใดที่น่าเชื่อถือร้อยเปอร์เซ็นต์ แม้แต่บริการที่มีจุดประสงค์ที่ชัดเจนในการปกป้องคุณ
นี้ไม่ได้หมายถึงการทุบตี Cloudflare ข้อผิดพลาดอาจเกิดขึ้นกับบริการใด ๆ ประเด็นคืออินเทอร์เน็ตไม่ใช่สถานที่ที่คุณควรคาดหวังความปลอดภัยในระดับที่รับประกัน คุณสามารถทำทุกอย่างที่ทำได้เพื่อปกป้องตัวเองและยังคงถูกทิ้งไว้ในที่แจ้งโดยสถานการณ์ที่คุณควบคุมไม่ได้
ควรทำอย่างไร
ความจริงก็คือตามที่ Joseph Steinberg แห่ง Inc.Com เขียนไว้ว่า "ความเสี่ยงในปัจจุบันนั้นน้อยกว่าราคาที่ต้องจ่ายใน 'ความมั่นคงปลอดภัยทางไซเบอร์' ที่เพิ่มขึ้นมาก ซึ่งนำไปสู่ปัญหาที่ใหญ่กว่ามากในอนาคต" สิ่งที่เขาพูดในที่นี้คือ ธรรมชาติของบั๊กนั้นทำให้โอกาสที่รหัสผ่านของคุณรั่วไหลได้ต่ำมากจนการเปลี่ยนแปลงจะส่งผลต่อการบั่นทอนคุณเท่านั้น เมื่อเกิดวิกฤตจริง คุณอาจรู้สึกเหนื่อยล้ากับเสียง ความตื่นตระหนก และโฆษณาเกินจริงจนคุณละเลยการโทรเพื่อเปลี่ยนรหัสผ่านในช่วงเวลาสำคัญได้ Cloudbleed ไม่ใช่ช่วงเวลานั้น แต่อย่างไรก็ตาม หากคุณรู้สึกว่าจำเป็นต้องทำเช่นนั้นจริงๆ ให้เปลี่ยนรหัสผ่านของคุณ
นอกจากนั้น ให้ระมัดระวังตัวและอย่าเพิกเฉยต่ออีเมลจากบริการที่คุณชื่นชอบ ในขณะที่เกิดวิกฤติ พวกเขามักจะส่งจดหมายที่เป็นมิตรพร้อมทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับเรื่องนี้และอาจให้คำแนะนำเกี่ยวกับสิ่งที่คุณควรทำเพื่อให้แน่ใจว่าคุณจะไม่ได้รับผลกระทบ
คุณคิดว่าความเหนื่อยล้าของการรักษาความปลอดภัยในโลกไซเบอร์มีอยู่อย่างที่ Steinberg แนะนำหรือไม่? ผู้คนควรตื่นตัวตลอดเวลาแม้ว่าจะไม่มีเหตุผลเพียงพอสำหรับความตื่นตระหนกหรือไม่? บอกเราว่าคุณคิดอย่างไรในความคิดเห็น!
