Un bug en Cloudflare expone un montón de datos secretos de clientes [ENG]

Hey !...cifrar el pr0n, si estáis leyendo estas lineas (la mayoría) estáis aceptando un script de cloudflare

Por eso yo solo uso 5¼-inch flopy disk. Y los datos que de verdad importan en tarjetas perforadas de titanio.

Pura publicidad para que nos preguntemos qué es cloud flare

#5 Uhm.. Creo que todos sabemos lo que es Cloud Flare...

Menéame se está convirtiendo en una red social de informáticos de izquierdas.

#6 hombre todos todos pues no.

#8 ¿Alguna vez fue otra cosa?

Bueno, pero ¿De los datos expuestos que tramas corruptas o de los poderes se han descubierto?

Tramas como por ejemplo cuando se filtro la base de datos de ashley madison y se vio que un montón de supuestos usuarios reales eran clones, fakeusers de la compañia.

Los hackers de google/alphabet ¿conocerán los secretos internos de las cupulas de google, el organigrama secreto y las tareas realizadas de sus departamentos de "black ops" (como en la peli "antitrust")?

¿Trabajarán como en la película "hipercube", compartimentados sin saber para qué se utilizará realmente lo que hacen en un compartimento que hace una pieza?
¿Hay algun indicador de transparencia interna y externa para las corporaciones? (son como "paises" y tendrán todas sus tramas nacionalistas y hegemonicas de los paises, su servivios de inteligencia, sus cupulas, sus cables secretos, alianzas con otros paises, alianzas secretas)

La nube la nube!

Y tienen que decirlo un viernes ?????

Entonces, así brevemente, que es cloudfare?

#8 Eso es barrapunto.com

Este tipo de vulnerabilidades serán las que se usen para explotar los datos de los megadatabrokers como acxiom.

Todo esto nos indica que a las corporaciones no les deberiamos entregar datos autenticos que van a terminar siendo hackeados. Los datos básicos para que el servicio funcione (un email, pass) el resto deberian ser falsos por si carne en manos de cualquiera.

Cuando te dicen, no compartiremos tus datos con terceros, es mentira, no pueden garantizar eso y lo saben. Es una ficción, una estafa ponzi.

No a las nubes

aclaración: un montón son varios teracampos de fútbol

de nada

#14 Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.

https://www.cloudflare.com

#6 ¿Que es Cloud Flare... ?

#7 y Brazzers

#22 ¿que no es cloud flare?

#21 Gracias por la explicación para legos. Ahora sí que entiendo el problema.

Pues viendo el listado de dominios, solo empezando por números y la A ya hay varios sitios conocidos...

#11 en Google, tienen todo el código en un megarepositorio.

O sease, un ingeniero que trabaja en Google Drive, puede ver el código de gmail, google maps... Y pueden enviar parches con mejoras.

#21 me imagino que la caché que hablas es para contenido estático. Para contenido dinámico es más complicado.

#8 La resistencia es inútil, seréis asimilados.

#12 ¿A qué huelen las nubes?

#4 Eso se degrada con el tiempo. Lo mejor es un cincel y una piedra.

#6 Claro, claro...

#27 Pero no tiene acceso al repositorio "black" de los proyectos top secret.

Solo tendrá acceso a los repositorios y proyectos para los que tiene permiso.

#28 Vale casi igual.
Una web dinámica no es TODO dinámico.
Hay una gran parte que son todo el CSS, multimedia, imágenes, etc, que va a ser siempre el mismo archivo aunque sea el resultado de componer una página, como hacen muchos CMS (Wordpress, Drupal, etc.). Si subes una foto nueva, se va a la caché suya y a partir de ahí tu servidor local ya no la suministra, grosso modo
Solo eso ya hace que tu web tenga un rendimiento muy superior.
Y tienen sistemas especializados para webs dinámicas (https://support.cloudflare.com/hc/en-us/articles/200172826-Can-dynamic-sites-work-with-Cloudflare-)
Para el resto de solicitudes dinámicas tienen protocolos de compresión que pueden llegar a comprimir el tráfico entre tu servidor y el del CDN hasta en un 700% (https://www.cloudflare.com/website-optimization/railgun/)

Pero aparte se busca también la seguridad y como las peticiones iniciales las procesan ellos, hacen que mucha de la mierda que llega a tu servidor como ataque lo mitiguen ellos de partida, pero no todo.

De todas formas no soy experto en CDN y es un tema que he tocado de forma tangencial. Seguro que hay alguien que puede aportar mas información en ese sentido.
Vaya, justo a tiempo ---> #32 lo explica bien en ese sentido

#34 Un ingeniero de google tiene acceso a prácticamente todos, las excepciones son aquellas partes críticas de la seguridad.

Dejo aquí un pdf explicando como funciona el puesto de un ingeniero en google:
https://arxiv.org/ftp/arxiv/papers/1702/1702.01715.pdf

#2 telita... a ver que hacen ahora con todos esos datos.

#36 Y ese documento es para hacer creer a los de fuera de google y a los propios ingenieros de google que eso es verdad, y que trabajan en un sitio en lo que eso es verdad.
Aunque eso es verdad en una de las secciones compartimentadas de google.

¿Encajan los datos?
Por ejemplo, imagínate que sabes que google recopila XXXXX terabytes al minuto, los procesa y refina para que queden YYY, esto da unas necesidades nuevas de ZZZ teras al dia, con lo cual tal o cual datacenter estará al tope está fecha y hay x, y, z planes para aumentarlo.

Pero de repente dices ¿Veo que tenemos una sobrecapacidad excedente, demasiado excedente?
¿Y en esos megadatacenters qué están haciendo y por qué no figuran en el inventario a y no tenemos acceso?
¿Qué se hace realmente en aquel departamento?¿Les habran dicho tambien a ellos que no pueden comentar x,y o z fuera del departamento a los otros ingenieros de google?

#38 #36
Y de todas formas podrian estar todos los departamentos black, google black, en una subestructura societaria paralela.

Se trata de unas empresas diferentes de google/alphabet pero que pertenecen a google/alphabet y sus capos, a través de una estructura de sociedades pantalla y capitales cruzados. En vez de seguir los volúmenes de bytes (flujos de teras generados) habría que seguir los volumenes de dinero,.las estructuras contables y flujos de dinero anomalos, u opacos, encriptados, ofuscados.

#21 ¿y qué significa que hayan destapado datos? ¿Datos de quien? ¿De los usuarios? ¿De los creadores de las páginas web? ¿Credenciales de usuario de esas páginas?

La nube es como la energía nuclear. Hay pocos accidentes pero cuando ocurren...

#21 que bien explicado!!.
Gracias

#41 #21 ya he podido leer bastantes cosas. Como dicen en reddit. This is huge.

#38 yo hablaba del código. De la arquitectura no he dicho nada.

Google por supuesto tiene sobrecapacidad, no solo porque tiene que responder al peor caso, sino porque ofrecen servicios de cloud.

Yo no sé qué películas os montáis, habláis como si google traficara con órganos o algo parecido.

#3 Como en este caso:

#45 ¿la cloud de quien te crees que se usa para traficar con organos?
La cloud de google en la que corren sistemas de la deep web desde los que se trafica con organos.

#32 De hecho no, la CDN no cacheará el contenido dinámico pero no se establece una conexión entre el usuario y tus servidores, la CDN te hace de gateway con el potencial que eso tiene.

Además no expones tus IPs reales a nadie ni hay forma de que las sepan, y si alguien las supiera configuras tu entorno perímetral de seguridad física y lógica para que permita solo conexiones desde los nodos intermedios de la CDN, con eso te aseguras que todas las peticiones que llegan a tus servidores lo hacen a través de la CDN donde habrás puesto la medidas de seguridad que permitan que los ataques se queden en su red.

#21 Esta bien explicado, pero solo puntualizar una cosa:

- El servidor vas a seguir necesitandolo. Por lo tanto, vas a seguir necesitando generalmente un administrador (si no sabes mantenerlo). Un administrador de sistemas hoy en dia es basico, porque todo se mueve por sistemas. Y la seguridad, es basica, porque sino, nos podemos meter en un buen problema.

Asi que solo añadir a lo tuyo, que, efectivamente tenemos un servidor, que tienes contratado un servicio externo bajo cloudflare, pero lo de optimizarlo, securizarlo y monitorizarlo va a seguir haciendo falta. Es mas, no creo que llegue el dia que no haga falta. CloudFlare NO es un administrador de sistema.

#48 Buena puntualización, iba a escribir eso mismo. A riesgo de volverme demasiado técnico, en algunos casos sí expones tus ips, si tienes el correo en el propio servidor, pero eso no es culpa de CloudFlare.

#40 No presumo de ignorancia y menos de desinterés. Hoy he sabido que cloudflare es parte importante de de la infraestructura y he hecho un chiste sobre mi ignorancia. He buscado en internet "qué es cloudflare". De presumir a reírse de uno mismo hay un abismo,

#28 Si es contenido dinámico, por definición, no es cachable!

#52 Evidentemente, no. Pienso que aquí las noticias sobre mundos informáticos están sobrerepresentadas, lloro un poco, y se me pasa.

Me parece que he entendido la película... ¿la policía sabía que los de asuntos internos les tendían una trampa?

#21 Muchas gracias por tu tiempo y tu respuesta.

#56 no hay suficientes maderistas de derechas que me apoyen

Cloudflare é a melhor hospedagem do mercado.