Falha grave no Cloudflare vaza dados de milhões de sites

Cloudflare é utilizado por 1Password, Uber, Patreon, Namecheap, Medium e outros grandes serviços.

Uma falha grave no Cloudflare, serviço de entrega de conteúdo adotado por 5,5 milhões de sites, foi divulgada publicamente na noite desta quinta-feira (23). Chamada de Cloudbleed, em referência ao Heartbleed, a vulnerabilidade existia há cinco meses e expôs informações sensíveis, como cookies, senhas e chaves de criptografia, de grandes serviços.
O problema foi descoberto por Tavis Ormandy, pesquisador de segurança do Google. Ormandy trabalhava em um projeto de análise de dados quando encontrou informações que não batiam com o que ele esperava. Depois de discutir com integrantes do Project Zero, os funcionários concluíram que, em determinadas circunstâncias, o Cloudflare enviava cookies, tokens de autenticação e outros dados importantes no código-fonte das páginas. A chave do bug está na própria forma como o Cloudflare funciona. O Tecnoblog é um dos milhões de sites que utiliza o serviço. Quando você abriu este artigo, na verdade, acessou os servidores do Cloudflare, que por sua vez puxaram a matéria dos nossos servidores próprios. Todos os textos e imagens são obrigatoriamente servidos pelo Cloudflare — nossos leitores não acessam nossos servidores diretamente. No caminho entre você e nós, o Cloudflare faz otimizações de segurança e desempenho. Ele converte links HTTP para HTTPS e reduz o tamanho do HTML e do JavaScript, além de proteger o site contra ataques. O problema é que, quando três recursos do Cloudflare são ativados (Server Side Excludes, Automatic HTTPS Rewrites e Email Address Obfuscation), cookies e dados enviados por meio de formulários são vazados no código-fonte de outras páginas que também utilizam o Cloudflare.
Um vazamento do Cloudflare no cache do Google (Foto: Maximilian Hils)
As informações sensíveis chegaram a ser indexadas pelo cache do Google e outros motores de busca, segundo o Ars Technica. A falha existia desde 22 de setembro de 2016. O Cloudflare diz que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados. Segundo o Cloudflare, a equipe de segurança desenvolveu uma correção inicial em 47 minutos depois de ser informada, com um patch definitivo sendo completado em menos de 7 horas. A empresa já entrou em contato com os principais motores de busca para que as páginas com informações vazadas fossem removidas dos caches. Foram encontradas 770 páginas de 161 domínios nos índices do Google, Bing, Yahoo e outros buscadores. Esta página no GitHub mostra alguns dos sites que utilizam o Cloudflare e podem ter sido afetados pela vulnerabilidade. Serviços notáveis, que lidam com senhas, tokens, dinheiro e outros dados privados são os seguintes:
  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com
  • tfl.gov.uk
  • stackoverflow.com
  • fastmail.com
  • 1password.com
Algumas empresas que são clientes do Cloudflare já se pronunciaram sobre o problema. A AgileBits diz que seu gerenciador de senhas 1Password não depende apenas da criptografia de SSL do Cloudflare para manter as informações dos usuários seguras, portanto, suas senhas não estão em risco. A empresa acalmou os usuários ressaltando que não é necessário alterar a senha-mestre do aplicativo. A Namecheap informou que está investigando o caso e, até o momento, não encontrou indícios de que seus usuários tenham sido afetados pela falha do Cloudflare. Apesar disso, a empresa de domínios recomenda que os usuários ativem a autenticação em duas etapas caso ainda não tenham feito isso. Fastmail e StackOverflow também afirmam que seus dados estão seguros. Fonte: https://tecnoblog.net