Publicidade

Google descobre falha crítica no Cloudfare que expõe dados de milhões de sites

Por| 24 de Fevereiro de 2017 às 12h32

Link copiado!

Google descobre falha crítica no Cloudfare que expõe dados de milhões de sites
Google descobre falha crítica no Cloudfare que expõe dados de milhões de sites
Tudo sobre Google

O Cloudflare, serviço de entrega de conteúdo usado por mais de 5,5 milhões de site em todo o mundo, tinha há cinco meses uma falha de segurança crítica que estava colocando em risco os dados de todos os seus clientes. Batizado de Cloudbleed, o problema expunha cookies, senhas e chaves criptografadas e foi divulgado pelo Google na noite desta quinta-feira (23).

De acordo com Tavis Ormandy, pesquisador de segurança do Google responsável pela descoberta, a falha foi encontrada quando ele trabalhava em um projeto de análise de dados. Ao ver que algumas informações simplesmente não faziam sentido, ele conversou com os integrantes do Project Zero e chegou à conclusão que o Cloudflare expunha cookies, tokens de autenticação e outros dados sensíveis no código fonte dos sites.

Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk — Tavis Ormandy (@taviso) 23 de fevereiro de 2017

O efeito colateral disso é que até mesmo motores de busca, como o Google, estavam enxergando e armazenando essas informações. Para piorar, como o CloudFlare armazena conteúdo de vários sites diferentes em um mesmo servidor, uma requisição a um site do serviço poderia acabar revelando dados de outro site.

Continua após a publicidade

"Por exemplo, você pode visitar o site do Uber e uma série de requisições anteriores que ficaram na memória do servidor podem acabar fornecendo dados do OkCupid", explicou o hacker da Pen Test Partners, Andrew Tierney. "Esses dados sensíveis podem ter sido fornecidos para qualquer pessoal. Não era necessário ter desferido um ataque hacker para obtê-los e até mesmo minha mãe pode ter tido acesso a senhas de outras pessoas simplesmente por ter visitado um site do CloudFlare".

Posteriormente, Ormandy descobriu que a falha era mais grave do que ele suspeitava. "Descobri que inúmeras mensagens privadas de sites de relacionamento e de um famoso bate-papo, e dados de gerenciadores online de senhas, sites adultos e de viagens vazaram", disse o funcionário do Google. "Estamos falando de requisições HTTPS completas, o endereço IP dos usuários, cookies, senhas, chaves de segurança, dados, tudo", exclamou.

A falha existia desde 22 de setembro de 2016, e, segundo a Cloudflare, uma equipe de segurança corrigiu o problema apenas 47 minutos depois de ser informada. Para minimizar o problema, a companhia alegou que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados.

O serviço também já entrou em contato com os principais motores de busca e solicitou que as páginas com informações vazadas fossem apagadas do cache. Ao todo, 770 páginas de 161 domínios foram encontradas nos índices do Google, Bing, Yahoo e outros mecanismos de busca.

Continua após a publicidade

No GitHub, é possível visualizar uma lista de sites e empresas que foram atingidos pela grave falha de segurança do Cloudflare. Algumas delas, como a AgileBits, já se pronunciaram sobre o caso. No caso da companhia dona do gerenciador de senhas 1Password, ela "não depende exclusivamente da criptografia SSL do Cloudflare" para manter seus dados e dos seus clientes seguros. Por isso nenhuma senha foi vazada ou está em risco.

Empresas como StackOverflow, Fastmail e Namecheap também disseram que não foi encontrado nenhum indício de que seus usuários tenham sido afetados pelo problema. Por isso, todos os dados estão seguros.

Fonte: Monorail, Forbes, AgileBits, GitHub