Cloudbleed: falha crítica no Cloudflare vazou dados privados de sites e serviços por meses

Outro dia, outro bug causando caos na internet. A bola da vez foi uma tremenda trapalhada da Cloudflare, empresa responsável por garantir e otimizar a qualidade das conexões protegidas de mais de 5,5 milhões de sites em todo o mundo: de acordo com um informe da companhia, uma falha crítica em seus serviços comprometeu pelo menos 3.400 páginas e serviços, que tiveram informações sensíveis expostas por pelo menos cinco meses.

A vulnerabilidade foi descoberta pelo pesquisador de vulnerabilidades do Google Project Zero Tavis Ormandy e ao que tudo indica se deu a partir de 22 de setembro último, quando uma série de conexões HTTPS de diversos sites e serviços que deveriam transitar protegidas não o foram. Embora a falha tenha ocorrido há cinco meses e só recentemente foi corrigida, o maior período de impacto de seu entre os dias 13 e 18 de fevereiro. Dentre os principais sites e serviços afetados estão Uber, OkCupid, FitBit e 1password.

Através de uma postagem o CTO do Cloudflare John Graham-Cumming esclareceu o real perigo do Cloudbleed: embora não hajam evidências de que um hacker possa ter acessado os servidores e coletado os dados, as transações ficaram armazenadas em cache pelos motores de busca e podiam ser acessadas facilmente por qualquer um. Mensagens privadas de sites de relacionamento, dados críticos de gerenciadores de senhas como o 1password, informações detalhadas de itinerários do Uber e outros ainda mais sensíveis como nomes e senhas (não há a confirmação de que dados bancários entraram na dança, mas é bem provável que sim)… enfim, pacote completo. Ormandy classificou o Cloudbleed como “o mais grave vazamento de dados privados da história”, dadas suas particularidades e implicações futuras.

Ao menos a reação do Cloudflare ao ficar sabendo do bug foi rápida: seis horas após ser informada por Ormandy da vulnerabilidade o serviço eliminou o bug, no entanto ainda não é possível precisar qual a magnitude dos estragos. A empresa entrou em contato com Google, Microsoft e Yahoo! e outras companhias que mantém motores de busca, de modo que essas se comprometam a fazer uma faxina nos dados sensíveis que foram disponibilizados.

No mais o fica o conselho: se você é usuário de algum dos serviços que podem ter sido ameaçados pelo Cloudbleed, troque sua senha agora.

Fonte: Ars Technica.

Relacionados: , , , , , , ,

Autor: Ronaldo Gogoni

Profissional de TI auto-didata, blogueiro que acha que é jornalista e careca por opção. Autor do Meio Bit e Portal Deviante, podcaster/membro fundador/Mestre Ancião do SciCast e host/podcaster do Sala da Justiça.

Compartilhar

Aproveite nossos cupons de desconto:

Cupom de desconto Asus, Cupom de desconto Frio Peças, Cupom de desconto Mundo da Carabina, Cupom de desconto JBL, Cupom de desconto Costa Cruzeiros, Cupom de desconto Loja do Mecânico, Cupom de desconto Staples