Файлът, който блокира X, YouTube и Spotify за няколко часа: Какво се обърка?

Срив в услугата на Cloudflare блокира достъпа до голяма част от интернет във вторник, като потребителите не можеха да ползват редица популярни сайтове и услуги като X, ChatGPT, Spotify, YouTube и Uber. Компанията публикува блог пост, в който подробно описва какво точно се е случило.

Съоснователят и главен изпълнителен директор на Cloudflare, Матю Принс, се извини в публикацията си късно във вторник, като заяви, че това е най-тежкото прекъсване, което компанията е преживявала от 2019 г. насам.

През последните над шест години не сме имали друг срив, който да е причинил спиране на по-голямата част от основния трафик през нашата мрежа“, каза още Принс.

Той обясни, че сривът на Cloudflare е бил причинен от проблем със системата, която компанията използва за защита на уебсайтове от DDoS атаки.

Какво точно се обърка?

Системата за управление на ботове на Cloudflare е услуга, която предпазва уебсайтовете от злонамерени атаки с ботове. Те включват:

• DDoS атаки – които заливат уебсайтовете с прекомерен трафик.
• Атаки за събиране на съдържание (scraping) – които извличат данни от уебсайтове без разрешение.
• Автономни атаки за попълване на удостоверения (credential stuffing) – които се опитват да получат достъп, като използват изтекли данни за вход от други сайтове.

Тази система за управление на ботове използва AI модел, който оценява заявките за трафик. Когато някой се опитва да получи достъп до уебсайт, защитен от системата, изкуственият интелект генерира оценка, за да определи дали заявката вероятно идва от бот. За целта AI моделът взема предвид различни характеристики на заявката, които се съхраняват в т.нар. „файл с характеристики“.

Именно във „файла с характеристики“ възниква проблемът. Този файл се обновява на всеки пет минути, за да отразява променящото се поведение на ботовете, и се използва в цялата мрежа за киберсигурност на Cloudflare.

Компанията обаче е внедрила промяна в основната заявка (query), която генерира файла. Това е довело до многократно дублиране на информацията и файлът е станал значително по-голям от обикновено, което е предизвикало грешка в системата за управление на ботове.

В резултат на това всеки опит за достъп до уебсайтове, които използват тази система, е водил до грешка. Cloudflare заявява, че мрежата им е започнала да изпитва значителни проблеми около 15 минути след внедряването на актуализацията.

Не е кибератака

Cloudflare първоначално са подозирали, че прекъсването е злонамерена атака, особено след като страницата им за състоянието (status page) също е спряла да работи, въпреки че е независима от основната инфраструктура. Принс обаче заяви, че това се е оказало съвпадение.

Проблемът не е бил причинен, пряко или косвено, от кибератака или злонамерена дейност от какъвто и да е вид.“

Услугите на Cloudflare бяха възстановени до голяма степен в рамките на три часа и напълно възобновени след около пет часа. Принс заяви, че компанията вече планира мерки за предотвратяване на подобни прекъсвания в бъдеще, включително спиране на доклада за грешки, които могат да претоварят системите ѝ.