Falla grave de Cloudflare filtra datos de millones de sitios

Una falla importante en Cloudflare, el servicio de entrega de contenido adoptado por 5.5 millones de sitios web, se   dio a conocer públicamente el jueves por la noche (23). Llamada Cloudbleed, en referencia a  Heartbleed , la vulnerabilidad había existido durante cinco meses y había expuesto información confidencial, como cookies, contraseñas y claves de cifrado, de los principales servicios.

El problema fue descubierto por Tavis Ormandy, investigador de seguridad de Google . Ormandy estaba trabajando en un proyecto de análisis de datos cuando encontró información que no coincidía con lo que esperaba. Después de discutir con los miembros del  Proyecto Cero , los empleados concluyeron que, bajo ciertas circunstancias, Cloudflare envió cookies, tokens de autenticación y otros datos importantes en el código fuente de las páginas.

Falla grave de Cloudflare filtra datos de millones de sitios 1

La clave del error es la forma en que funciona Cloudflare. El  Tecnoblog  es uno de los millones de sitios web que utilizan el servicio. Cuando abrió este artículo, realmente accedió a los servidores de Cloudflare, que a su vez extrajo la historia de nuestros propios servidores. Cloudflare requiere todo el texto y las imágenes: nuestros lectores no acceden a nuestros servidores directamente.

En el camino entre usted y nosotros, Cloudflare realiza optimizaciones de seguridad y rendimiento. Convierte enlaces HTTP a HTTPS, reduce el tamaño de HTML y JavaScript, y protege su sitio de ataques. El problema es que, cuando se habilitan tres funciones de Cloudflare (Excluidas del lado del servidor, reescrituras automáticas HTTPS y ofuscación de direcciones de correo electrónico), las cookies y los datos enviados a través de formularios se filtran en el código fuente de otras páginas que también usan Cloudflare.

Falla grave de Cloudflare filtra datos de millones de sitios 2

Una fuga de Cloudflare en el caché de Google (Foto: Maximilian Hils )

La información confidencial incluso fue indexada por el caché de Google y otros motores de búsqueda, según  Ars Technica . La falla había existido desde el 22 de septiembre de 2016. Cloudflare dice que el período de mayor impacto fue del 13 al 18 de febrero, cuando 1 de cada 3.3 millones de solicitudes podría provocar la fuga de datos.

Según Cloudflare, el equipo de seguridad desarrolló un parche inicial dentro de los 47 minutos de haber sido informado, con un parche definitivo completado en menos de 7 horas. La compañía ya se ha puesto en contacto con los principales motores de búsqueda para eliminar las páginas filtradas de los cachés. Se encontraron 770 páginas de 161 dominios en los índices de Google, Bing, Yahoo y otros motores de búsqueda.

Esta  página en GitHub  muestra algunos de los sitios web que usan Cloudflare y pueden haber sido afectados por la vulnerabilidad. Los servicios notables que tratan con contraseñas, tokens, dinero y otros datos privados son los siguientes:

  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com
  • tfl.gov.uk
  • stackoverflow.com
  • fastmail.com
  • 1password.com

Algunas compañías que son clientes de Cloudflare ya han comentado sobre el tema.

AgileBits dice que su administrador de contraseñas 1Password  no solo se basa en el cifrado SSL de Cloudflare para mantener segura la información del usuario , por lo que sus contraseñas no están en riesgo. La compañía calmó a los usuarios al señalar que no es necesario cambiar la contraseña maestra de la aplicación.

Namecheap dijo  que está investigando el caso  y hasta ahora no ha encontrado evidencia de que sus usuarios hayan sido afectados por el accidente de Cloudflare. Sin embargo, la compañía de dominio recomienda que los usuarios habiliten la autenticación en dos pasos si aún no lo han hecho.

Fastmail y StackOverflow también afirman que sus datos están seguros.

Contenido Relacionado

Cómo poner una relación seria en Facebook Lite

Cómo poner una relación seria en Facebook Lite

El Facebook Lite es una versión más ligera de la tradicional aplicación de Facebook. Está destinado a la mayoría de ...
Leer Más
Bitdefender Free Antivirus Edition para Windows 10/8/7

Bitdefender Free Antivirus Edition para Windows 10/8/7

Si usted ha estado deseando silenciosamente un software antivirus fuerte, ligero y eficaz, pero gratuito, en esta temporada de vacaciones, ...
Leer Más
Cómo deshabilitar las notificaciones grupales en WhatsApp

Cómo deshabilitar las notificaciones grupales en WhatsApp

No siempre es conveniente recibir notificaciones grupales de WhatsApp ; Aquí, deshabilito a todos. Cuando necesito ver de qué está ...
Leer Más
Cómo quitar Bonjour de Windows 10/8/7

Cómo quitar Bonjour de Windows 10/8/7

iTunes utiliza Bonjour para varias tareas que lleva a cabo. Por ejemplo, utiliza el programa para localizar "Bibliotecas de música ...
Leer Más
Eliminar instalaciones anteriores de Windows después de una actualización a Windows 10 y liberar espacio en disco

Eliminar instalaciones anteriores de Windows después de una actualización a Windows 10 y liberar espacio en disco

Si ha actualizado su Windows 10 a la última versión 1703 que está disponible actualmente, y está muy seguro de ...
Leer Más
Instalación de Bodhi Linux en imágenes

Instalación de Bodhi Linux en imágenes

Siga paso a paso la instalación de Bodhi Linux en un ordenador portátil. Iniciamos el ordenador desde un live-usb de ...
Leer Más

Deja un comentario