CloudFlare บริการ CDN ชื่อดังได้เปิดเผยบั๊กล่าสุด ซึ่งเป็นบั๊กที่มีความเสี่ยงจะทำให้ข้อมูลสำคัญอย่างรหัสผ่าน, คุกกี้ และโทเคนสำหรับการยืนยันตัวตนรั่วไหลจากเว็บไซต์ของลูกค้าได้ ทำให้ผู้ที่ค้นพบช่องโหว่นี้สามารถเก็บข้อมูลส่วนตัวที่ถูกเข้ารหัสแล้วได้ รวมถึงข้อมูลบางอย่างจะถูกแคชไว้ด้วยเสิร์ชเอนจิน ทำให้แม้ว่าหลังจาก CloudFlare จะแก้ปัญหาเองแล้วก็จะต้องขอความร่วมมือกับผู้ให้บริการเสิร์ชเอนจินในการล้างข้อมูลเหล่านี้ด้วย

การรั่วของข้อมูลดังกล่าว เริ่มมาตั้งแต่กันยายนปีที่แล้ว ก่อนที่จะมีนักวิจัยความปลอดภัยจาก Project Zero ค้นพบและรายงานมายัง CloudFlare อย่างไรก็ดี ข้อมูลน่าจะรั่วออกมามากในช่วงระหว่าง 13-18 กุมภาพันธ์ โดยทุก ๆ 1 ใน 3.3 ล้านของ HTTP request ที่ส่งเข้ามาที่เว็บไซต์บน CloudFlare สามารถทำให้ข้อมูลหลุดออกไปได้ ดังนั้นผู้โจมตีสามารถเข้าถึงข้อมูลได้ทั้งแบบเรียลไทม์ และเข้าถึงข้อมูลได้ภายหลังผ่านแคชของเสิร์ชเอนจิน

ปัญหาดังกล่าวเกิดขึ้นจาก HTML parser ที่ CloudFlare ใช้ในการเพิ่มประสิทธิภาพของเว็บไซต์ เพื่อเตรียมไซต์ให้พร้อมสำหรับการกระจายในแพลตฟอร์มอย่าง AMP ของ Google หรือการอัพเกรดจากลิงก์ HTTP เป็น HTTPS ซึ่งฟีเจอร์สามอย่างของ CloudFlare คือ email obfuscation, Server-side Excludes และ Automatic HTTPS Rewrites นั้นใช้ parser นี้

ผู้ค้นพบปัญหานี้คือ Tvis Ormandy วิศวกรจาก Google เขาเรียกบั๊กนี้ว่า Cloudbleed ซึ่งในครั้งแรกที่พบปัญหาเขาคิดว่ามาจากโค้ดของตัวเอง แต่เมื่อทดสอบไปเรื่อย ๆ จึงพบว่าปัญหาดังกล่าวเกิดจาก CloudFlare

ในรายงานของ CloudFlare กล่าวว่า ข้อมูลที่รั่วไหลนั้นอยู่ที่ 0.00003% ของคำขอเท่านั้น แม้ว่าดูไม่เยอะ แต่ว่าลูกค้าของ CloudFlare บางรายอย่างผู้ให้บริการจัดการรหัสผ่าน หรือเว็บไซต์ให้บริการเดท ก็เก็บข้อมูลสำคัญไว้เป็นจำนวนมาก ทำให้ข้อมูลที่รั่วไปแม้จะน้อยแต่ก็มีความสำคัญ ซึ่งเมื่อ CloudFlare รับทราบปัญหา ทีมงานในซานฟรานซิสโกและลอนดอนก็ร่วมกันทำงานเพื่อแก้ปัญหาทันที และสามารถแก้ปัญหาหลายอย่างจบได้ภายใน 7 ชั่วโมง และแก้ได้ทั้งหมดภายใน 6 วัน รวมถึงติดต่อกับเสิร์ชเอนจินเพื่อให้ล้างข้อมูลที่แคชไว้ด้วย

สำหรับผู้ที่สนใจรายละเอียดทางเทคนิคฉบับเต็ม สามารถอ่านได้จากที่มาครับ

ที่มา - TechCrunch, CloudFlare