Categories: Cloud

Cloudflare verliert über Bug Millionen Nutzerdaten

Cloudflare informiert Nutzer in einem Blog darüber, dass durch einen Bug sensible Informationen wie Passwörter und Cookies, die für die Authentifizierung von Nutzern genutzt werden, geleaked wurden. Cloudflare ist ein Service, der die Performance und Sicherheit von Webseiten optimieren soll. Derzeit sollen rund 5,5 Millionen Webseiten die Dienste von Cloudflare in Anspruch nehmen.

Der Bug ist reichlich delikat und der Datenverlust scheint sehr umfassend zu sein. So sollen die Daten seit Ende September vergangenen Jahres offen einsehbar gewesen sein. Interessant aber scheint vor allem der Zeitraum zwischen dem 13. und dem 18. Februar zu sein. Hier wurden die Daten von verschiedenen Suchmaschinen, darunter auch Google, gespeichert. Währen dieser Zeit waren Angreifer in der Lage auf die Daten zuzugreifen. Dafür haben sie Anfragen an Web-Seiten geschickt, oder auch spezielle Anfragen an Google oder andere Suchmaschinen geschickt.

Eine Fitbit-Session eines Nutzers. Durch den Fehler “Cloudbleed” konnten die Daten dieser Session ausgelesen werden. (Bild: Project Zero/Google)

Cloud-Flare-CTO John Graham erklärt den Vorgang in einem Blog: “Der Fehler war so schwerwiegend weil die ausgeflossenen Speicher auch private Informationen enthalten können und weil es von den Suchmaschinen gecached wurde.” Nachdem die Informationen aus dem Chache der Suchmaschinen gelöscht worden sei, habe sich Cloudflare auch dazu entschieden, diesen Fehler öffentlich zu machen. Zudem gebe es derzeit keine Hinweise darauf, dass diese Informationen für Angriffe ausgenutzt wurden.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Der eigentliche Fehler liegt in einem Parser von Cloudflare. Der wird dafür eingesetzt, um Web-Seiten zu modifizieren, wenn diese von den Servern von Cloudflare geprüft werden. Dabei wird unter anderem ein Google-Analytic-Tag gesetzt, Links werden in HTTPS umgewandelt, Web-Bots gefiltert und Mailadressen werden verborgen. Wenn der Parser zusammen mit Cloudflare-Features (email obfuscation, Server-side Excludes und Automatic HTTPS Rewrites) Einsatz kam, dann gab der Server zufällige Inhalte – vergleichbar mit dem OpenSSL-Bug Heartbleed – aus dem Arbeitsspeicher in http-Antworten aus.

Doch gibt es auch Unterschiede zu Heartbleed: Der aktuelle Cloudflare-Bug lässt sich nur bei gewissen mit Cloudflare geschützten Seiten ausnutzen und es wurden auch keine Schlüssel auf Ebene des Transport-Layers ausgegeben.

Cloudflare reagierte nach dem Bekanntwerden schnell. So wurde das Feautre der E-Mail-Verschleierung deaktiviert und dadurch auch der unbeabsichtigte Memory-Leak. Nach etwa sechs Stunden war dann auch der Fehler im HTML-Parser behoben.

Entdeckt hat den Fehler der Google-Forscher Tavis Ormandy. Laut Ormandy sollen grundsätzlich alle Seiten betroffen sein, die Cloudflare nutzen.

Ormandy hatte die Sicherheitsexperten bei Cloudflare über Twitter kontaktiert, die dann binnen einer Stunde einen ersten Fix liefern konnten. Im Anschluss an den finalen Fix des Problems und die Veröffetlichung des Fehler s in dem oben genannten Blog erklärte Ormandy: “Der Blog enthält einen exzellenten Postmortem, aber er spielt das Risiko, das für die Anwender bestand, sehr stark herunter.”

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Cloudflare erklärt, dass für einzelne Anwender das Risiko eher gering ist, dass wirklich vertrauliche Daten in Falsche Hände gelangten. CTO Graham empfiehlt jedoch, dass Anwender mindestens das Passwort geändert werden sollte. Auch der Sicherheits-Experte Ryan Lackey empfiehlt in einem Blog, dass Service-Provider zumindest theoretisch davon ausgehen sollten, dass sensible Daten ausgegeben wurden, und dass daher sämtliche Nutzer ihr Passwort zurücksetzen sollten und in Abhängigkeit des Sicherheitslevels weitere Schritte erwogen werden sollten.

Vor wenigen Tagen hatte Cloudflare zusammen mit anderen Sicherheitsanbietern in einer Studie zahlreichen Sicherheitsanbietern eine HTTPS Inception nachgewiesen. Die meisten Hersteller hatten aber bereits bei der Veröffentlichung der Untersuchung ihre Produkte entsprechend geändert.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

2 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

3 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

20 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

20 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

22 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago