24.02.2017, 12:02 Uhr Gerade keine Zeit? Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.

Eine Software-Lücke bei Cloudflare hat dafür gesorgt, dass sensible Nutzerdaten offenbart wurden – und das nicht nur auf der eigenen Seite.

Anzeige

Eigentlich soll der Dienst Cloudflare vor allem vor DDoS-Angriffen schützen und eine Website sicherer und mit seinem CDN schneller machen. Eine jetzt bekannt gewordene Lücke offenbarte aber monatelang sensible Nutzerdaten wie Cookies, Passwörter und Tokens zur Authentifizierung.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Anzeige

Cloudflare-Lücke: 5 Millionen Websites betroffen

Über 5 Millionen Websites will Cloudflare mit seinem Dienst schützen – alle waren vom Bug betroffen. Diese haben auf ihrer Site neben dem Inhalt der Seite auch sensible Daten von anderen Websites ausgeliefert. Teile der Daten wurden automatisch von Suchmaschinen gecached, was die Beseitigung des Bugs noch aufwendiger machte. Der Bug war seit dem 22. September 2016 aktiv, wurde aber laut Cloudflare nicht ausgenutzt. Besonders schlimm soll er zwischen dem 13. und dem 18. Februar gewesen sein.

Obwohl viele Websites unter dem Bug litten, gibt Cloudflare in seinem Blog bekannt, dass nur rund 0,00003 Prozent aller Requests Daten mit ausgeliefert haben. Betroffen von der Lücke waren bekannte Vertreter wie Uber, Fitbit, Okcupid und 1Password, wobei letztere direkt in einer Stellungnahme deutlich gemacht haben, dass die Passwörter der Nutzer niemals gefährdet waren, da man sich dafür nicht nur auf TLS verließe.

Could someone from cloudflare security urgently contact me. — Tavis Ormandy (@taviso) February 18, 2017

Entdeckt wurde die Lücke von Google-Security-Experte Tavis Ormandy. Er habe private Nachrichten von Dating-Sites, ganze Nachrichten von Chat-Services oder Hotel-Buchungen mitlesen können. Ein gezieltes Auslesen von Daten sei aber nicht möglich gewesen.

Cloudflare: Die Ursache der Lücke

Das genaue Problem war im HTML-Parser beheimatet, der beispielsweise dafür zuständig war, HTTP-Links auf HTTPS umzuschreiben oder E-Mail-Adressen zu verbergen. Die Lücke wurde, nachdem Ormandy über Twitter Kontakt zu Cloudflare aufgenommen hatte, innerhalb von sechs Stunden in einer ersten Version geschlossen, nach sechs Tagen war sie vollends beseitigt. Cloudflare selbst war auch betroffen.

Der in seinem Bug-Report.

Anzeige

via techcrunch.com