Cloudflare, un bug ha esposto i dati di migliaia di siti Una falla (ora risolta) nei sistemi dell’azienda ha portato alla fuoriuscita di dati sensibili da 3.400 portali, tra cui quelli di Uber e Fitbit. Le informazioni sarebbero ancora disponibili nelle copie cache dei motori di ricerca, ma al momento non ci sono segnali di attività hacker. Pubblicato il 24 febbraio 2017 da Redazione

Circa 3.400 siti, tra cui quelli di Uber e Fitbit, sono stati colpiti da un bug nascosto nei sistemi di Cloudflare, azienda che offre tra le altre cose servizi contro gli attacchi di tipo denial of service. Secondo quanto ricostruito dalla stessa società, la vulnerabilità avrebbe portato all’esposizione sul Web di dati sensibili degli utenti, tra cui password, cookie e token di autenticazione. Al momento, per fortuna, non ci sono segni tangibili di manomissioni hacker né di accesso da parte dei criminali informatici a queste informazioni. Ma i dati sono rimasti disponibili per diverso tempo sia sulle versioni “corrotte” dei siti colpiti dal bug, sia nelle copie cache visualizzabili sui più diffusi motori di ricerca. La falla è stata segnalata a Cloudflare da Tavis Ormandy, ricercatore di Google.

In un blog post, l’azienda ha spiegato che “in alcune circostanze insolite, i nostri server edge […] restituivano porzioni di memoria contenenti informazioni private come cookie Http, token di autenticazione, Http Post bodies e altri dati sensibili”. Le chiavi Ssl private di Cloudflare, sottolinea il post, non sono state coinvolte dal leak.

Per risolvere il problema, la società ha istituito un team polifunzionale tra Londra e San Francisco formato da ingegneri del software, addetti alla sicurezza e alle operations, che dopo 47 minuti di lavoro era riuscito ad attenuare il bug, risolvendolo poi in sette ore. Dal punto di vista prettamente statistico, il picco di fuoriuscita di informazioni si è verificata tra il 13 e il 18 febbraio (ma è iniziato già il 22 settembre 2016), con una richiesta Http processata da Cloudflare su 3,3 milioni responsabile di data leak.

Nel suo report, pubblicato qui, Ormandy ha sottolineato che tra le informazioni rese pubbliche si trovano anche messaggi privati provenienti dai principali siti di incontri (Okcupid è coinvolto), intere conversazioni di un “noto servizio chat”, password per la gestione di dati online, frame di video caricati su siti per adulti e prenotazioni di hotel.

Questione chiusa? Non proprio. In un’intervista a Reuters, John Graham-Cumming di Cloudflare ha spiegato come sia molto difficile capire quali pagine siano state effettivamente colpite, perché sono ben sei milioni i siti protetti dalla tecnologia dell’azienda statunitense. Con l’aiuto di Google, la società ha lavorato per ripulire il Web dai dati sensibili, anche dalle copie cache delle pagine.

Alcuni ricercatori nel campo della sicurezza sostengono che chiunque abbia un profilo registrato su un sito il cui traffico viene elaborato da Cloudlfare, debba “considerare ormai le proprie informazioni come pubbliche” e “lavorare per mettere in sicurezza” gli account.