Categories: Cloud

Cloudflare verliert über Bug Millionen Nutzerdaten

Cloudflare informiert Nutzer in einem Blog darüber, dass durch einen Bug sensible Informationen wie Passwörter und Cookies, die für die Authentifizierung von Nutzern genutzt werden, geleaked wurden. Cloudflare ist ein Service, der die Performance und Sicherheit von Webseiten optimieren soll. Derzeit sollen rund 5,5 Millionen Webseiten die Dienste von Cloudflare in Anspruch nehmen.

Der Bug ist reichlich delikat und der Datenverlust scheint sehr umfassend zu sein. So sollen die Daten seit Ende September vergangenen Jahres offen einsehbar gewesen sein. Interessant aber scheint vor allem der Zeitraum zwischen dem 13. und dem 18. Februar zu sein. Hier wurden die Daten von verschiedenen Suchmaschinen, darunter auch Google, gespeichert. Währen dieser Zeit waren Angreifer in der Lage auf die Daten zuzugreifen. Dafür haben sie Anfragen an Web-Seiten geschickt, oder auch spezielle Anfragen an Google oder andere Suchmaschinen geschickt.

Eine Fitbit-Session eines Nutzers. Durch den Fehler “Cloudbleed” konnten die Daten dieser Session ausgelesen werden. (Bild: Project Zero/Google)

Cloud-Flare-CTO John Graham erklärt den Vorgang in einem Blog: “Der Fehler war so schwerwiegend weil die ausgeflossenen Speicher auch private Informationen enthalten können und weil es von den Suchmaschinen gecached wurde.” Nachdem die Informationen aus dem Chache der Suchmaschinen gelöscht worden sei, habe sich Cloudflare auch dazu entschieden, diesen Fehler öffentlich zu machen. Zudem gebe es derzeit keine Hinweise darauf, dass diese Informationen für Angriffe ausgenutzt wurden.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Der eigentliche Fehler liegt in einem Parser von Cloudflare. Der wird dafür eingesetzt, um Web-Seiten zu modifizieren, wenn diese von den Servern von Cloudflare geprüft werden. Dabei wird unter anderem ein Google-Analytic-Tag gesetzt, Links werden in HTTPS umgewandelt, Web-Bots gefiltert und Mailadressen werden verborgen. Wenn der Parser zusammen mit Cloudflare-Features (email obfuscation, Server-side Excludes und Automatic HTTPS Rewrites) Einsatz kam, dann gab der Server zufällige Inhalte – vergleichbar mit dem OpenSSL-Bug Heartbleed – aus dem Arbeitsspeicher in http-Antworten aus.

Doch gibt es auch Unterschiede zu Heartbleed: Der aktuelle Cloudflare-Bug lässt sich nur bei gewissen mit Cloudflare geschützten Seiten ausnutzen und es wurden auch keine Schlüssel auf Ebene des Transport-Layers ausgegeben.

Cloudflare reagierte nach dem Bekanntwerden schnell. So wurde das Feautre der E-Mail-Verschleierung deaktiviert und dadurch auch der unbeabsichtigte Memory-Leak. Nach etwa sechs Stunden war dann auch der Fehler im HTML-Parser behoben.

Entdeckt hat den Fehler der Google-Forscher Tavis Ormandy. Laut Ormandy sollen grundsätzlich alle Seiten betroffen sein, die Cloudflare nutzen.

Ormandy hatte die Sicherheitsexperten bei Cloudflare über Twitter kontaktiert, die dann binnen einer Stunde einen ersten Fix liefern konnten. Im Anschluss an den finalen Fix des Problems und die Veröffetlichung des Fehler s in dem oben genannten Blog erklärte Ormandy: “Der Blog enthält einen exzellenten Postmortem, aber er spielt das Risiko, das für die Anwender bestand, sehr stark herunter.”

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Cloudflare erklärt, dass für einzelne Anwender das Risiko eher gering ist, dass wirklich vertrauliche Daten in Falsche Hände gelangten. CTO Graham empfiehlt jedoch, dass Anwender mindestens das Passwort geändert werden sollte. Auch der Sicherheits-Experte Ryan Lackey empfiehlt in einem Blog, dass Service-Provider zumindest theoretisch davon ausgehen sollten, dass sensible Daten ausgegeben wurden, und dass daher sämtliche Nutzer ihr Passwort zurücksetzen sollten und in Abhängigkeit des Sicherheitslevels weitere Schritte erwogen werden sollten.

Vor wenigen Tagen hatte Cloudflare zusammen mit anderen Sicherheitsanbietern in einer Studie zahlreichen Sicherheitsanbietern eine HTTPS Inception nachgewiesen. Die meisten Hersteller hatten aber bereits bei der Veröffentlichung der Untersuchung ihre Produkte entsprechend geändert.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago