Merhaba, Kesin olarak hangi sistemlerden bilgi sızdığı net değil. Githubdaki 70MBlık file cloudflare arkasında çalışan tüm sitelerin listesi. Eylül 2016-Şubat 2017 arasında login olunan sistemlerdeki credential/session bilgileri sızmış olabilir. Sızan bilgileri search engineler de indexlediği için en temizi passwordleri resetlemek ve active bütün sessionları öldürmek. Sistemlerinizde 2FA enforce ediliyorsa ve sessionlar belli bir süre sonra ölüyorsa kısmen rahat olabilirsiniz.:)
2017-02-24 17:32 GMT+03:00 Hamza Şamlıoğlu <[email protected]>: > Merhaba Arkadaşlar, > > Cloudflare i etkileyen çok ciddi bir zafiyet bir saat kadar önce > yayınlandı. Cloudflare arkasında hizmet veren web sayfalarının HTTPS > trafiklerinin açık bir şekilde görünmesine sebep olmaktadır. > > Açığı Google Project Zero ekibi buldu. Bu zafiyete "Cloudbleed" olarak > isim verilmiş durumda. Ayrıca bu zafiyetin heartbleed den bile daha ciddi > olduğu söyleniyor. > > Zafiyet nedeni ile ünlü birçok firmaların bilgilerinin de alındığı iddia > ediliyor. Bunlar arasında Uber ve Reddit gibi firmalarda var ve alınan > bilgiler arasında şifreler, yazışmalar hatta cookie bilgileri de bulunduğu > söyleniyor. > > Bu zaafiyet için Github üzerinden 70MB civarında bir dosya yayınlandı ve > dosya içeriğinde zafiyetten etkilenen web siteleri yer almaktadır. > > Bu güvenlik açığı sebebi ile HTTPS trafikleri yayınlanan birçok şirket de > tehlike aldında! Ayrıca CloudFlare'nin yaptığı açıklama ise bu durumu > doğruluyor. > > Detaylara aşağıdan ulaşabilirsiniz. > > https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 > > https://github.com/pirate/sites-using-cloudflare > > Bilginize sunarım. > > > > > > *Hamza Şamlıoğlu* > *http://teakolik.blog <http://teakolik.blog>* > > PGP/GPG > > ------------------------------------------------- > Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/ > dailypentest > > ------------------------------------------------- >
------------------------------------------------- Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest -------------------------------------------------
