ALERTA: Bug do Cloudflare pode ter afetado usuários de Bitcoin – altere já a sua senha
Em 17 de fevereiro, um pesquisador de segurança do Google descobriu um bug com a infraestrutura Cloudflare, uma empresa que muitas empresas bitcoin usam para proteção DoS e outros serviços. A gravidade do erro é considerada muito ruim e as credenciais de segurança para muitas contas bitcoin devem ser alteradas.
O sistema Cloudflare estaria vazando quantidades significativas de memória não inicializada que poderia conter dados confidenciais, incluindo segredos e senhas de autenticação de dois fatores (2FA). De acordo com muitos relatórios, incluindo a pessoa que encontrou o bug, isso pode ter acontecido há meses, e os dados podem ter sidos pulverizados para a web aberta.
O vazamento poderia levar a contas de pessoas comprometidas em muitos sites e serviços de bitcoin. Os sites de Bitcoin que poderiam ser afetados incluem:
Se você possui conta em um destes serviços, altere a sua senha imediatamente!
Muitas pessoas na comunidade bitcoin estão avisando os outros para também redefinirem os seus 2FA’s. Além disso, as empresas de bitcoin que podem ter sido afetadas também estão alertando os clientes a tomar as precauções necessárias.
“Um bug foi descoberto recentemente com a Cloudflare, que a Kraken e muitos outros sites usam para a proteção DoS e outros serviços”, afirma a exchange de bitcoin Kraken, com sede em São Francisco. “Devido à natureza do bug, recomendamos como precaução que você altere suas credenciais de segurança Kraken: Altere sua senha, altere sua autenticação de dois fatores (remova e reabilite), os clientes que usam as chaves da API devem gerar um novo conjunto de chaves. Você também deve alterar suas credenciais de segurança para outros sites que usam Cloudflare. “
A extensão do dano pode ser grave
A questão do Cloudflare é muito reminiscente aos ataques Linode em 2012 e a vulnerabilidade Heartbleed descoberta em 2014. No entanto, se o vazamento do Cloudflare entrou em mãos maliciosas ou não é algo indeterminado, mas os Bitcoiners estão abalados. A memória não inicializada mantida pelo serviço Cloudflare inclui dados como cookies, conteúdo HTTP, senhas e certificados TLS. A pessoa que descobriu o bug, Taviso diz, “proxies inversos Cloudflare estão despejando memória não inicializada.” Esta questão foi chamada então de “Cloudbleed'”
“Não sei se este problema foi observado e explorado, mas tenho certeza que outros rastreadores coletaram dados e que os usuários salvaram ou armazenaram conteúdo em cache e não percebem o que eles tinham.”, explica a opinião de Taviso sobre o Extensão do dano. “Descobrimos (e purgamos) páginas em cache que contêm mensagens privadas de serviços bem conhecidos, PII de sites importantes que usam cloudflare e até mesmo solicitações de texto simples de API de um gerenciador de senhas popular que foram enviadas através de https (!!)”.
Para ficarem precavidos, usuários de Bitcoin devem alterar suas senhas e redefinir seus 2FA em determinadas contas. Uma lista completa de gerenciadores de senhas, serviços 2FA e empresas de bitcoin que podem ter sido afetadas pode ser encontrada aqui.
Via: News Bitcoin
Adaptação/Tradução: Guia do Bitcoin
Siga nosso canal no Telegram e receba notícias importantes sobre o Bitcoin: telegram.me/guiadobitcoin
