Если у вас телефон Android, то скорее всего сегодня утром вас попросили заново ввести пароль. Также поступил Яндекс, и еще множество других сервисов. Судя по всему, всё из-за этого (upd: оказалось, что не связано): https://vk.cc/6hMhmu
Без преувеличения десятая часть интернета (если не рассматривать совсем мелочь) для балансировки трафика и разных других приятных фишек пользовалась сервисом Cloudflare. Который допустил утечку данных такого уровня, что кто угодно мог увидеть даже содержимое https-запросов, включая персональные сообщения, координаты поездок в Uber, итд. Нет, сам https безопасен, просто использование безопасного протокола еще не значит что принимающая сторона правильно работает с данными.
Это лишнее напоминание что всю инфраструктуру лучше держать у себя, если есть такая возможность. Когда мы делали Qbaka, мы тоже с этим очень больно обожглись. Мы не могли предположить что DNS-провайдера уровня старейшего регистратора доменных имен можно взломать, это ведь краеугольный камень интернета. Но даже DNS программируют люди, а люди ошибаются.
UPD: Гугл пишет что сброс токенов не связан с Cloudflare, это оказалось маловероятное совпадение.
Без преувеличения десятая часть интернета (если не рассматривать совсем мелочь) для балансировки трафика и разных других приятных фишек пользовалась сервисом Cloudflare. Который допустил утечку данных такого уровня, что кто угодно мог увидеть даже содержимое https-запросов, включая персональные сообщения, координаты поездок в Uber, итд. Нет, сам https безопасен, просто использование безопасного протокола еще не значит что принимающая сторона правильно работает с данными.
Это лишнее напоминание что всю инфраструктуру лучше держать у себя, если есть такая возможность. Когда мы делали Qbaka, мы тоже с этим очень больно обожглись. Мы не могли предположить что DNS-провайдера уровня старейшего регистратора доменных имен можно взломать, это ведь краеугольный камень интернета. Но даже DNS программируют люди, а люди ошибаются.
UPD: Гугл пишет что сброс токенов не связан с Cloudflare, это оказалось маловероятное совпадение.
If you have an Android phone, then most likely this morning you were asked to re-enter your password. Yandex also entered, and many other services. Apparently, all because of this (upd: it turned out that it was not connected): https://vk.cc/6hMhmu
Without exaggeration, a tenth of the Internet (if not to consider a trifle) used the Cloudflare service to balance traffic and various other pleasant chips. Which allowed a leak of data of such a level that anyone could even see the contents of https requests, including personal messages, coordinates of trips to Uber, etc. No, https itself is safe, just using a secure protocol does not mean that the receiving side is working correctly with the data.
This is another reminder that it is better to keep the entire infrastructure at home, if possible. When we did Qbaka, we burned it very painfully too. We could not assume that the DNS providers at the level of the oldest domain name registrar can be hacked, because this is the cornerstone of the Internet. But even people program DNS, and people make mistakes.
UPD: Google writes that the reset of tokens is not related to Cloudflare, this turned out to be an unlikely coincidence.
Without exaggeration, a tenth of the Internet (if not to consider a trifle) used the Cloudflare service to balance traffic and various other pleasant chips. Which allowed a leak of data of such a level that anyone could even see the contents of https requests, including personal messages, coordinates of trips to Uber, etc. No, https itself is safe, just using a secure protocol does not mean that the receiving side is working correctly with the data.
This is another reminder that it is better to keep the entire infrastructure at home, if possible. When we did Qbaka, we burned it very painfully too. We could not assume that the DNS providers at the level of the oldest domain name registrar can be hacked, because this is the cornerstone of the Internet. But even people program DNS, and people make mistakes.
UPD: Google writes that the reset of tokens is not related to Cloudflare, this turned out to be an unlikely coincidence.
У записи 16 лайков,
2 репостов,
2664 просмотров.
2 репостов,
2664 просмотров.
Эту запись оставил(а) на своей стене Андрей Мима
