"Cloudbleed": Cloudflare-Fehler ließ Websites Informationen von Nutzern anderer Websites verteilen

Der Sicherheitsforscher Tavis Ormandy von Google hat eine kritische Sicherheitslücke beim Content Delivery Network (CDN) "Cloudflare" entdeckt, die mittlerweile inoffiziell "Cloudbleed" getauft wurde: bugs.chromium.org.

Durch einen Fehler in der Serversoftware des Dienstes konnten Websites, die auf Cloudflare setzen, Daten anderer Websites bzw. von deren Nutzern verteilen. Auf diese Weise wurden seit September 2016 u.a. sensible Nutzerdaten wie Login-Cookies, Login-Daten und Tokens, aber auch Hotel-Buchungen und Chat-Verläufe von anderen Websites als derjenigen, auf der sie eingegeben wurden, ausgeliefert, und hätten somit mitgelesen werden können. Speziell zwischen dem 13. und 18. Februar 2017 trat die Problematik verstärkt auf.

Die Sicherheitslücke wurde mittlerweile behoben: blog.cloudflare.com. Von ihr potentiell betroffen waren u.a. große Dienste wie Uber, 1Password, FitBit und OKCupid. 1Password hat jedoch auf Twitter bereits mitgeteilt, dass der Dienst nicht betroffen sei: twitter.com.

Eine Liste der potentiell betroffenen Websites findet man unter github.com. Nutzer dieser sollten ihre Passwörter ändern, zumal sensible Daten von Cloudflare-Servern bereits in Suchmaschinen wie der Google-Suche entdeckt wurden, da die Crawler diese zufällig mitgeschnitten haben. Außerdem liegen entsprechende Daten vermutlich noch immer bei vielen weiteren Caching-Diensten und könnten ausgewertet werden.

via heise.de

Nachtrag vom 27. Februar: Zwei Dienste, die einige von euch vielleicht nutzen und die bestätigt haben, dass sie betroffen sind, sind übrigens Feedly und Discord: blog.feedly.com & blog.discordapp.com.

Nachtrag vom 2. März: Cloudflare hat zusätzliche Details zur Lücke und eine Analyse dazu veröffentlicht: blog.cloudflare.com.