ad

Cloudbleed: falha crítica no Cloudflare vazou dados privados de sites e serviços por meses

Outro dia, outro bug causando caos na internet. A bola da vez foi uma tremenda trapalhada da Cloudflare, empresa responsável por garantir e otimizar a qualidade das conexões protegidas de mais de 5,5 milhões de sites em todo o mundo: de acordo com um informe da companhia, uma falha crítica em seus serviços comprometeu pelo menos 3.400 páginas e serviços, que tiveram informações sensíveis expostas por pelo menos cinco meses.

A vulnerabilidade foi descoberta pelo pesquisador de vulnerabilidades do Google Project Zero Tavis Ormandy e ao que tudo indica se deu a partir de 22 de setembro último, quando uma série de conexões HTTPS de diversos sites e serviços que deveriam transitar protegidas não o foram. Embora a falha tenha ocorrido há cinco meses e só recentemente foi corrigida, o maior período de impacto de seu entre os dias 13 e 18 de fevereiro. Dentre os principais sites e serviços afetados estão Uber, OkCupid, FitBit e 1password.

Através de uma postagem o CTO do Cloudflare John Graham-Cumming esclareceu o real perigo do Cloudbleed: embora não hajam evidências de que um hacker possa ter acessado os servidores e coletado os dados, as transações ficaram armazenadas em cache pelos motores de busca e podiam ser acessadas facilmente por qualquer um. Mensagens privadas de sites de relacionamento, dados críticos de gerenciadores de senhas como o 1password, informações detalhadas de itinerários do Uber e outros ainda mais sensíveis como nomes e senhas (não há a confirmação de que dados bancários entraram na dança, mas é bem provável que sim)… enfim, pacote completo. Ormandy classificou o Cloudbleed como “o mais grave vazamento de dados privados da história”, dadas suas particularidades e implicações futuras.

Ao menos a reação do Cloudflare ao ficar sabendo do bug foi rápida: seis horas após ser informada por Ormandy da vulnerabilidade o serviço eliminou o bug, no entanto ainda não é possível precisar qual a magnitude dos estragos. A empresa entrou em contato com Google, Microsoft e Yahoo! e outras companhias que mantém motores de busca, de modo que essas se comprometam a fazer uma faxina nos dados sensíveis que foram disponibilizados.

No mais o fica o conselho: se você é usuário de algum dos serviços que podem ter sido ameaçados pelo Cloudbleed, troque sua senha agora.

Fonte: Ars Technica.

Relacionados: , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis