Google descobre falha crítica no Cloudfare que expõe dados de milhões de sites

Por Sérgio Oliveira RSS | em 24.02.2017 às 12h32

Cloudbleed

O Cloudflare, serviço de entrega de conteúdo usado por mais de 5,5 milhões de site em todo o mundo, tinha há cinco meses uma falha de segurança crítica que estava colocando em risco os dados de todos os seus clientes. Batizado de Cloudbleed, o problema expunha cookies, senhas e chaves criptografadas e foi divulgado pelo Google na noite desta quinta-feira (23).

De acordo com Tavis Ormandy, pesquisador de segurança do Google responsável pela descoberta, a falha foi encontrada quando ele trabalhava em um projeto de análise de dados. Ao ver que algumas informações simplesmente não faziam sentido, ele conversou com os integrantes do Project Zero e chegou à conclusão que o Cloudflare expunha cookies, tokens de autenticação e outros dados sensíveis no código fonte dos sites.

O efeito colateral disso é que até mesmo motores de busca, como o Google, estavam enxergando e armazenando essas informações. Para piorar, como o CloudFlare armazena conteúdo de vários sites diferentes em um mesmo servidor, uma requisição a um site do serviço poderia acabar revelando dados de outro site.

"Por exemplo, você pode visitar o site do Uber e uma série de requisições anteriores que ficaram na memória do servidor podem acabar fornecendo dados do OkCupid", explicou o hacker da Pen Test Partners, Andrew Tierney. "Esses dados sensíveis podem ter sido fornecidos para qualquer pessoal. Não era necessário ter desferido um ataque hacker para obtê-los e até mesmo minha mãe pode ter tido acesso a senhas de outras pessoas simplesmente por ter visitado um site do CloudFlare".

Posteriormente, Ormandy descobriu que a falha era mais grave do que ele suspeitava. "Descobri que inúmeras mensagens privadas de sites de relacionamento e de um famoso bate-papo, e dados de gerenciadores online de senhas, sites adultos e de viagens vazaram", disse o funcionário do Google. "Estamos falando de requisições HTTPS completas, o endereço IP dos usuários, cookies, senhas, chaves de segurança, dados, tudo", exclamou.

A falha existia desde 22 de setembro de 2016, e, segundo a Cloudflare, uma equipe de segurança corrigiu o problema apenas 47 minutos depois de ser informada. Para minimizar o problema, a companhia alegou que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados.

O serviço também já entrou em contato com os principais motores de busca e solicitou que as páginas com informações vazadas fossem apagadas do cache. Ao todo, 770 páginas de 161 domínios foram encontradas nos índices do Google, Bing, Yahoo e outros mecanismos de busca.

No GitHub, é possível visualizar uma lista de sites e empresas que foram atingidos pela grave falha de segurança do Cloudflare. Algumas delas, como a AgileBits, já se pronunciaram sobre o caso. No caso da companhia dona do gerenciador de senhas 1Password, ela "não depende exclusivamente da criptografia SSL do Cloudflare" para manter seus dados e dos seus clientes seguros. Por isso nenhuma senha foi vazada ou está em risco.

Empresas como StackOverflow, Fastmail e Namecheap também disseram que não foi encontrado nenhum indício de que seus usuários tenham sido afetados pelo problema. Por isso, todos os dados estão seguros.

Fonte: Monorail, Forbes, AgileBits, GitHub

Assine nosso canal e saiba mais sobre tecnologia!
Leia a Seguir

Comentários

Newsletter Canaltech

Receba nossas notícias por e-mail e fique
por dentro do mundo da tecnologia!

Baixe já nosso app Fechar

Novidade

Extensão Canaltech

Agora você pode ficar por dentro de todas as notícias, vídeos e podcasts produzidos pelo Canaltech.

Receba notificações e pesquise em nosso site diretamente de sua barra de ferramentas.

Adicionar ao Chrome