Dzień dobry Jejowiczki i Jejowicze!
Jeja.pl korzysta z usługi Cloudflare, aby odciążyć swoje serwery i dostarczać Wam materiały bez zbędnych opóźnień. Cloudflare to usługa, która pośredniczy w dostarczaniu naszych obrazków, gier oraz innych plików statycznych. Dzięki temu spora część obciążenia Jeja.pl spoczywa na ich barkach.
Niestety, Cloudflare w okresie pomiędzy 13 lutego, a 18 lutego miał błąd zwany Cloudbleed, który na 770 nietypowo skonfigurowanych domenach mógł wyświetlić dane z pozostałych 5.5 miliona stron zapisanych w ich usłudze. Jeja.pl nie używała funkcjonalności z błędem, więc nie była źródłem wycieku, ale hipotetycznie dane z Jeja mogły pojawić się na jednej z 770 domen. Konkurowaliśmy jednak o miejsce w wycieku z 5.5 miliona innych stron i przegraliśmy ten wyścig. Cloudflare zapewnia nas, że żadne dane Jeja.pl nie wyciekły do wyszukiwarek. Wyciek dotyczy bardzo wielu znanych polskich stron. Dlaczego więc my informujemy Was o wycieku, choć wcale nie ma ryzyka? No cóż, wiele serwisów, które nie mają pojęcia o bezpieczeństwie w Internecie zaczyna opisywać wyciek nie rozumiejąc go zupełnie. Przez to część użytkowników Internetu może odnieść wrażenie, że ich dane są w niebezpieczeństwie. Dodatkowo zestawiając to z listą stron używających Cloudflare'a możemy dość szybko dojść do wniosku: "z Jeja.pl wyciekły dane, a oni milczą". Otóż nie chcemy milczeć i przyznajemy się: używamy Cloudflare, przeanalizowaliśmy dokładnie ten incydent bezpieczeństwa i uważamy, że prawdopodobieństwo wycieku jakiegokolwiek hasła z Jeja jest niewiarygodnie minimalne. Ktoś musiałby wejść na jedną z 770 nietypowo skonfigurowanych domen i wiedzieć gdzie szukać dodatkowych danych, bo nie były one wyświetlane na stronie, a w ukrytych nagłówkach. Nawet wtedy szansa, że wylosują się dane Jeja.pl jest niewielka. Aby pobrać dane z wycieku ktoś musiałby namiętnie odwiedzać jedną albo kilka z tych 770 źle skonfigurowanych stron, a to byłoby widoczne w statystykach Cloudflare.
Jak ktoś chce mieć pewność może zmienić hasło do konta na Jeja, co zresztą jest i tak zalecane co kilka miesięcy.
Cały incydent można śledzić w kilku miejscach:
Zaloguj się
Komentarze
OdświeżEdytowano - 26 lutego 2017, 18:40
Nawet, gdyby shackowali mi konto, to pisaliby mądrzejsze komentarze niż ja, cri
BTW drogi adminie, możesz mi wytłumaczyć, na czym polegał ten wyciek? Bo nie chce mi się czytać tego opisu sytuacji xD
Odpisz
27 lutego 2017, 09:06
@CukiereczeQ: OK! Najkrócej jak potrafimy opisaliśmy to tutaj: http://www.jeja.pl/info,94,wyciek-z-cloudflarea-twoje-haslo-na.html
Odpisz
27 lutego 2017, 15:17
@jejapl: NABRAŁAM SIĘ WIECIE
Odpisz
26 lutego 2017, 21:48
Współczuje tym którzy mieli konta na stronach z pornosami korzystającymi z Cloudflare
Odpisz
26 lutego 2017, 18:09
K
Odpisz
26 lutego 2017, 13:11
no popieram nie jest podrubo
Odpisz
26 lutego 2017, 15:51
@dawid382: ?
Odpisz
28 lutego 2017, 13:19
@polskigracz8: lol
Odpisz
25 lutego 2017, 10:29
Czyli moje konto nadal jest bezpieczne?
Odpisz
25 lutego 2017, 10:54
@Donald_Trump: Trump, twoje konto nigdy nie jest bezpieczne.
Odpisz
25 lutego 2017, 12:53
@Donald_Trump: Możesz postawić mur a i tak nie będzie do końca bezpieczne. Hakerzy mają swoje sposoby.
Odpisz
26 lutego 2017, 12:45
@TheVellox46: Wykopią dół pod murem pewno.
Odpisz
25 lutego 2017, 16:07
Lubię patrzeć jak świat płonie.
Odpisz
25 lutego 2017, 16:17
@Krzyniu: Pjona
Odpisz
26 lutego 2017, 10:08
@Krzyniu: k
Odpisz
25 lutego 2017, 19:56
Wyciekły dane z pornoli
Ło cie chui wonsza
Odpisz
26 lutego 2017, 08:18
@ThePolishKillerPL: ustawienia fabryczneee!
Odpisz
26 lutego 2017, 01:13
Cóż, moje drogie hasło.... byłeś pracownikiem miesiąca przez tyle lat, jednak trzeba kiedyś przejść na emeryturę.
Odpisz
25 lutego 2017, 20:32
uuuu nawet poznać można kilka stronek pornograficznych....
ale nwm czy coś ciekawego się tam znajdzie...
polecam sprawdzone stronki przez naszych "znajomych"
Odpisz
Edytowano - 25 lutego 2017, 19:41
sqlmap -u --dbms
mam nadzieje ze dane byly trzymane na oddzielnym serwerze, i boze blagam ze nie w jakims slabym sql table'u
Odpisz
25 lutego 2017, 19:32
Wyciekły dane z sexfilmików, jestem zgubiony
Odpisz
25 lutego 2017, 10:59
Z tej strony haker ukradlem to konto.
Odpisz
25 lutego 2017, 19:30
@Chrzaszcz_Trzcinowy: O nie
Odpisz
25 lutego 2017, 19:30
a ja sobie siedze, popijam winko, i patrze jak transfer z kont na chomikuj leci
Odpisz
25 lutego 2017, 18:54
Jakoż, iż kilka razy przeczytałam (Bo wcześniej nie zrozumiałam.) To zmieniam hasło bo boję się.
Odpisz
25 lutego 2017, 17:54
Czyli Coudflare pisze że nic nie wyciekło a tak naprawdę wyciekło? :V
Odpisz
25 lutego 2017, 18:14
Nic nie wyciekło z Jeja. Na pewno pojawiały się dane z Ubera. Strony, których to dotyczy zostały powiadomione. My otrzymaliśmy informację, że nie "wycieknięto" nic z jeja.
Odpisz
25 lutego 2017, 18:16
@jejapl: Ok, ale czujnym trza być :I
Odpisz
25 lutego 2017, 11:46
miejmy nadzieję że nic się nikomu nie stanie i że nikt nie straci konta...
Odpisz
25 lutego 2017, 12:02
@loloja: Nie korzystaliśmy z funkcji, które wymagały wadliwego parsera HTML. Dlatego wyciek choć mało prawdopodobny, to i tak zapewne nas by nie objął. Wiadomość powstała po to, aby wyjaśnić dlaczego jeja znajduje się na liście stron związanych z tym wyciekiem. Po prostu używamy Cloudflare, jak miliony innych stron. Zaraz pewnie główne media podchwycą temat i bez zrozumienia zacznie się sianie paniki. Wy możecie spać spokojnie.
Odpisz
25 lutego 2017, 12:09
@jejapl: dziękuję za informacje teraz jestem spokojny
Odpisz
25 lutego 2017, 12:12
@loloja: W celu doprecyzowania. Nie musieliśmy jednak używać parsera HTML, aby dane z jeja wyciekły. Wystarczy, że te 770 domen używało i miało błędny kod HTML, niedomknięte znaczniki. Mimo tego nie ma śladów, że ktoś odkrył błąd i go wykorzystywał. Jeja się nie pojawia nigdzie indziej, niż na liście stron, które używają Cloudflare'a. Co ciekawe serwis Niebezpiecznik opisujący zdarzenie też go używa od lat i chyba nawet poleca.
Odpisz
25 lutego 2017, 12:16
@jejapl: skoro używacie tego Cloudflare długi czas i zawsze się spisywał to to jest po prostu taki niefart i na pewno nie trzeba się niczym martwić dziękuję za doprecyzowanie
Odpisz
25 lutego 2017, 17:01
@jejapl: to bardzo dobrze. Wirtualna piątka?
Odpisz
25 lutego 2017, 17:00
Dobrze że o tym informujecie :-D
Odpisz
25 lutego 2017, 17:00
Uffff jak dobrze
Odpisz
25 lutego 2017, 16:50
Dobrze że o tym mówicie i uspokajacie wystraszonych Jejaków.
Odpisz
25 lutego 2017, 13:32
Tiger Bonzo atakuje
Odpisz
25 lutego 2017, 11:58
Nie no, Zmieniam hasło żeby więcej to się nie stało!
Odpisz
25 lutego 2017, 10:59
Ale czy nie da się tego jakoś zhackować? Co w ogóle robią nasze hasła na jakiś chmurach? A ryzyko niewielkie ale zawsze jest. A co z tym hashowaniem??
Odpisz
Edytowano - 25 lutego 2017, 11:07
@TheHunterMikiPL: Hasła trzymamy tylko w bazie danych na jeja. Cloudflare nie powinien mieć nic do gadania w sprawie Waszych haseł, bo jego zadaniem jest zajmowanie się plikami statycznymi: obrazkami, plikami gier, ikonami. Nie pozwalaliśmy mu zmieniać nic w naszym kodzie html: nic poprawiać, ulepszać, choć część stron na pewno się skusiła na te bonusy. Raczej nie ma szans, żeby Clouflare w ogóle miał możliwość pobrać hasło użytkownika, ale jednak i tak woleliśmy Was poinformować.
Odpisz
25 lutego 2017, 11:10
@jejapl: Ale gdyby pobrało to by wyświetlało zhashowane, czy nie? A co z tym błędem? Naprawiony? Naprawiany?
Odpisz
Edytowano - 25 lutego 2017, 11:30
@TheHunterMikiPL: Jeśli już jakimś niezwykłym zbiegiem okoliczności Twoje hasło by się gdzieś pojawiło to byłoby to hasło w czystej postaci. Pobrane by było w momencie logowania. Hashe haseł są formą zapisu i porównania hasła wpisanego przez użytkownika w bazie danych. Nie są dla nikogo widoczne. Błąd został naprawiony i odczekano 6 dni przed jego ujawnieniem, żeby usunąć z wyszukiwarek informacje, które one zaindeksowały. Nie było tam żadnych informacji z jeja.pl
Odpisz
25 lutego 2017, 11:42
@jejapl: Dobrze. Dziękuję za informacje.
Odpisz
25 lutego 2017, 10:33
Czyli teraz najlepiej zmienić hasło, tak?
Odpisz
25 lutego 2017, 11:25
@wiedzma102: Z tłumaczeń wynika, że nie, ale najlepiej zmieniać hasło nawet bez okazji, więc można teraz zmienić na wszelki wypadek.
Odpisz
25 lutego 2017, 10:57
Bardzo fajnie z Waszej strony, że informujecie nas o tym.
Zauważyłem również, że dodaliście ikonkę przy stronie głównej Jeja, która informuje o poście, dobrze, że to dodaliście.
Odpisz
25 lutego 2017, 10:36
I tak zamierzałam zmienić hasło
Odpisz