Home » Segurança » Cloudbleed: falha crítica no Cloudflare vazou dados privados de sites e serviços por meses

Cloudbleed: falha crítica no Cloudflare vazou dados privados de sites e serviços por meses

Cloudbleed, uma falha crítica nos serviços de proteção a sites do Cloudflare vazou dados de login e senhas de mais de 3 mil sites e serviços por pelo menos cinco meses.

3 anos atrás

Outro dia, outro bug causando caos na internet. A bola da vez foi uma tremenda trapalhada da Cloudflare, empresa responsável por garantir e otimizar a qualidade das conexões protegidas de mais de 5,5 milhões de sites em todo o mundo: de acordo com um informe da companhia, uma falha crítica em seus serviços comprometeu pelo menos 3.400 páginas e serviços, que tiveram informações sensíveis expostas por pelo menos cinco meses.

A vulnerabilidade foi descoberta pelo pesquisador de vulnerabilidades do Google Project Zero Tavis Ormandy e ao que tudo indica se deu a partir de 22 de setembro último, quando uma série de conexões HTTPS de diversos sites e serviços que deveriam transitar protegidas não o foram. Embora a falha tenha ocorrido há cinco meses e só recentemente foi corrigida, o maior período de impacto de seu entre os dias 13 e 18 de fevereiro. Dentre os principais sites e serviços afetados estão Uber, OkCupid, FitBit e 1password.

Através de uma postagem o CTO do Cloudflare John Graham-Cumming esclareceu o real perigo do Cloudbleed: embora não hajam evidências de que um hacker possa ter acessado os servidores e coletado os dados, as transações ficaram armazenadas em cache pelos motores de busca e podiam ser acessadas facilmente por qualquer um. Mensagens privadas de sites de relacionamento, dados críticos de gerenciadores de senhas como o 1password, informações detalhadas de itinerários do Uber e outros ainda mais sensíveis como nomes e senhas (não há a confirmação de que dados bancários entraram na dança, mas é bem provável que sim)... enfim, pacote completo. Ormandy classificou o Cloudbleed como "o mais grave vazamento de dados privados da história", dadas suas particularidades e implicações futuras.

Ao menos a reação do Cloudflare ao ficar sabendo do bug foi rápida: seis horas após ser informada por Ormandy da vulnerabilidade o serviço eliminou o bug, no entanto ainda não é possível precisar qual a magnitude dos estragos. A empresa entrou em contato com Google, Microsoft e Yahoo! e outras companhias que mantém motores de busca, de modo que essas se comprometam a fazer uma faxina nos dados sensíveis que foram disponibilizados.

No mais o fica o conselho: se você é usuário de algum dos serviços que podem ter sido ameaçados pelo Cloudbleed, troque sua senha agora.

Fonte: Ars Technica.

relacionados


Comentários