Cloudbleed: falha crítica no Cloudflare vazou dados privados de sites e serviços por meses

Outro dia, outro bug causando caos na internet. A bola da vez foi uma tremenda trapalhada da Cloudflare, empresa responsável por garantir e otimizar a qualidade das conexões protegidas de mais de 5,5 milhões de sites em todo o mundo: de acordo com um informe da companhia, uma falha crítica em seus serviços comprometeu pelo menos 3.400 páginas e serviços, que tiveram informações sensíveis expostas por pelo menos cinco meses.

A vulnerabilidade foi descoberta pelo pesquisador de vulnerabilidades do Google Project Zero Tavis Ormandy e ao que tudo indica se deu a partir de 22 de setembro último, quando uma série de conexões HTTPS de diversos sites e serviços que deveriam transitar protegidas não o foram. Embora a falha tenha ocorrido há cinco meses e só recentemente foi corrigida, o maior período de impacto de seu entre os dias 13 e 18 de fevereiro. Dentre os principais sites e serviços afetados estão Uber, OkCupid, FitBit e 1password.

Através de uma postagem o CTO do Cloudflare John Graham-Cumming esclareceu o real perigo do Cloudbleed: embora não hajam evidências de que um hacker possa ter acessado os servidores e coletado os dados, as transações ficaram armazenadas em cache pelos motores de busca e podiam ser acessadas facilmente por qualquer um. Mensagens privadas de sites de relacionamento, dados críticos de gerenciadores de senhas como o 1password, informações detalhadas de itinerários do Uber e outros ainda mais sensíveis como nomes e senhas (não há a confirmação de que dados bancários entraram na dança, mas é bem provável que sim)… enfim, pacote completo. Ormandy classificou o Cloudbleed como “o mais grave vazamento de dados privados da história”, dadas suas particularidades e implicações futuras.

Ao menos a reação do Cloudflare ao ficar sabendo do bug foi rápida: seis horas após ser informada por Ormandy da vulnerabilidade o serviço eliminou o bug, no entanto ainda não é possível precisar qual a magnitude dos estragos. A empresa entrou em contato com Google, Microsoft e Yahoo! e outras companhias que mantém motores de busca, de modo que essas se comprometam a fazer uma faxina nos dados sensíveis que foram disponibilizados.

No mais o fica o conselho: se você é usuário de algum dos serviços que podem ter sido ameaçados pelo Cloudbleed, troque sua senha agora.

Fonte: Ars Technica.

Relacionados: , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Caipiroto, o Capeta Caipira 😈

    Me preocupa o 1Password ter entrado na dança. Mostra como serviços de armazenamento de informações sigilosas como senhas são sensíveis e nos coloca num dilema: somos péssimos pra memorizar e desenvolver senhas fortes, e mesmo assim não podemos confiar nos serviços de armazenamento de senhas existentes.

    • O (ex)Datilógrafo da AEB

      O Authy também…

    • MJuliani

      Siga o link da matéria, e depois os domínios afetados, lá consta que o 1Password não foi afetado e link onde o 1Password responde no fórum que não foi afetado por utilizar diversas camadas de segurança.
      Pelo menos isso

    • Apenas 150 clientes foram afetados, o Cloudflare já entrou em contato com esses 150 passando o que foi no caso deles, eles não divulgaram uma lista desses 150, só avisaram os donos.

  • Imagina que legal quando um site gerenciador de senhas sofre ter as senhas vazadas. E como diabos os motores de busca tem acesso à isso, eu me pergunto????

    • Rafael Rodrigues

      O 1password não foi atingido. Vá à fonte e confira.

    • Helmut

      Os motores de busca tem acesso porque os crawlers estão o tempo vasculhando conteúdo na web.
      A falha fez com que ao requisitar conteúdo do endereço X, você fosse servido com o conteúdo do endereço Y e entre esse conteúdo estavam dados críticos que transitam (HTTP headers, dados do POST, JSON, etc) “por fora” durante a navegação.

      O crawler acessou o endereço do site X e o CloudFlare entregou o dados de login que algum usuário enviou no site Y. Indexado.

  • Por isso digo que é mais seguro guardar a senha no papel de pão do que nesses serviços.

    • Vish, acho que joguei minhas senhas no lixo hoje de manhã… =X

    • Alvaro Carneiro

      ENPASS, confira.

  • Marcogro®

    Fico me perguntando, qual seria a maldita senha de acesso do administrador de um site gerenciador de senhas…
    Seria admin/12345

    • Julio da Gaita ✔

      OU…

      admin
      admin

      rs

      • Alvaro Carneiro

        a melhor de todas é 123mudar

      • admin
        adminadmin

    • Igor Alves

      Eu sempre uso ******** (8 asteriscos), porque pode ser armazenada de modo seguro até em plain text. 🙂

  • O (ex)Datilógrafo da AEB

    Eu tava zoando até ver que meu site tá na lista 🙁

  • Rafael Rodrigues

    Gogoni, conserta o post. No link original um ponto final separa o 1password do resto. Na própria matéria diz que eles NÃO foram atingidos por transitar o dado encriptado sobre a camada de segurança.

    Dizer que o 1password foi afetado (sem que tenha sido) é bem grave.

  • Vamos lá, em primeiro lugar esse bug só afetou sites que utiliza as opções Email Obfuscation e Automatic HTTPS Rewrites do Cloudflare

    Nem todos os clientes do Cloudflare tem essas opções ligadas eu mesmo não liguei no meu site.

    Post original https:// blog.cloudflare .com /incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

    • Ygor Mutti

      Não. Essas features (e Server-Side Exclusion, que descobriram depois) apenas provocavam o buffer overrun, que fazia com que a resposta destas requisições bugadas pudesse conter dados de qualquer site que tivesse uma requisição em progresso naquele instante no mesmo espaço de memória.

      > Because Cloudflare operates a large, shared infrastructure an HTTP request to a Cloudflare web site that was vulnerable to this problem could reveal information about an unrelated other Cloudflare site.

      • De qualquer forma só afetou 150 clientes, não milhares igual os sites estão falando, conforme o email que recebi do Cloudflare

        In our review of these third party caches, we discovered data that had been exposed from approximately 150 of Cloudflare’s customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.

        Fortunately, your domain is not one of the domains where we have discovered exposed data in any third party caches.

        • Ygor Mutti

          Então, esses 150 são os clientes que eles tem certeza que foram expostos, pois encontraram dados vazados deles no cache de mecanismos de busca. Quantos foram expostos no total eles não dizem, porque provavelmente não tem como saber. Claro, eles também não querem jogar a merda no ventilador e falar que todo mundo que usou o proxy no período com o bug pode ter sido exposto. Veja o que disse o Tavis Ormandy, que descobriu a falha:

          > Cloudflare did finally send me a draft. It contains an excellent postmortem, but severely downplays the risk to customers. […] Let’s hope that their notification in combination with the details from this issue will be adequate explanation of what happened. […]

          Pode ser que algum black hat hacker tenha encontrado essa falha, no pior caso, no dia em que foi introduzida e ficou provocando o bug para coletar dados e vender.

  • Uma parte do e-mail que recebi do Cloudflare, apenas 150 clientes do Cloudflare foram afetados não esse número gigante ai do post

    In our review of these third party caches, we discovered exposed data on approximately 150 of Cloudflare’s customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.

    Your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found.

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis