CloudFlare, dat de beveiliging van miljoenen websites behartigt, heeft gedurende een periode belangrijke gegevens gelekt, waaronder volledige berichten op chat- en datingsites, wachtwoorden en andere data.
Een lek in de CloudFlare-infrastructuur heeft persoonlijke en gevoelige gegevens blootgelegd, van wachtwoorden en volledige tekstberichten tot API sleutels en cookies. CloudFlare verzorgt SSL-encryptie voor miljoenen websites. Het bedrijf maakte de problemen gisteren wereldkundig via een blogbericht.
Datingsites en hotelreserveringen
Het veiligheidsprobleem werd gespot door Tavis Ormandy, een veiligheidsexpert van Google. Hij bracht het bedrijf op de hoogte van het lek. “Ik realiseerde me niet hoeveel van het internet achter een CloudFlare CDN zit tot dit incident,” aldus Ormandy. Berichten op datingsites, chatberichten, wachtwoorden uit wachtwoordmanagers, hotelreserveringen: het zijn allemaal gegevens die Ormandy kon opsporen door het geheugenlek.
Parser
Dat lek is ondertussen gedicht. Het ging om een bug die volgens CloudFlare al jaren ongedetecteerd in zijn Ragel-gebaseerde parser zat, maar nooit opspeelde door de manier waarop de interne buffers werden gebruikt. De bug werd pas gevaarlijk toen het bedrijf overstapte naar een andere parser, cf-html. "Cf-html veranderde het bufferen subtiel, wat het lek mogelijk maakte, ook al was er geen probleem met cf-html zelf."
Hierdoor zou er mogelijk al vanaf 22 september 2016 gegevens zijn gelekt. CloudFlare zelf stelt dat de grootste periode van impact tussen 13 en 18 februari was. In die periode “resulteerde ongeveer 1 in elke 3.300.000 HTTP verzoeken via CloudFlare potentieel in het lekken van gegevens.”
Cloudbleed
Het lek heeft ondertussen de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL. Het is niet duidelijk of er misbruik is gemaakt van de bug. Een onderzoek naar mogelijke databases met gelekte informatie op websites als PasteBin leverde niets op. Feit is wel dat sommige van de gelekte pagina’s gecacht werden door zoekmachines, waardoor bepaalde gegevens nog altijd op straat kunnen liggen.