Google descobre falha crítica no Cloudfare que expõe dados de milhões de sites
Por Jones Oliveira | 24 de Fevereiro de 2017 às 12h32
O Cloudflare, serviço de entrega de conteúdo usado por mais de 5,5 milhões de site em todo o mundo, tinha há cinco meses uma falha de segurança crítica que estava colocando em risco os dados de todos os seus clientes. Batizado de Cloudbleed, o problema expunha cookies, senhas e chaves criptografadas e foi divulgado pelo Google na noite desta quinta-feira (23).
De acordo com Tavis Ormandy, pesquisador de segurança do Google responsável pela descoberta, a falha foi encontrada quando ele trabalhava em um projeto de análise de dados. Ao ver que algumas informações simplesmente não faziam sentido, ele conversou com os integrantes do Project Zero e chegou à conclusão que o Cloudflare expunha cookies, tokens de autenticação e outros dados sensíveis no código fonte dos sites.
Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk — Tavis Ormandy (@taviso) 23 de fevereiro de 2017
O efeito colateral disso é que até mesmo motores de busca, como o Google, estavam enxergando e armazenando essas informações. Para piorar, como o CloudFlare armazena conteúdo de vários sites diferentes em um mesmo servidor, uma requisição a um site do serviço poderia acabar revelando dados de outro site.
"Por exemplo, você pode visitar o site do Uber e uma série de requisições anteriores que ficaram na memória do servidor podem acabar fornecendo dados do OkCupid", explicou o hacker da Pen Test Partners, Andrew Tierney. "Esses dados sensíveis podem ter sido fornecidos para qualquer pessoal. Não era necessário ter desferido um ataque hacker para obtê-los e até mesmo minha mãe pode ter tido acesso a senhas de outras pessoas simplesmente por ter visitado um site do CloudFlare".
Posteriormente, Ormandy descobriu que a falha era mais grave do que ele suspeitava. "Descobri que inúmeras mensagens privadas de sites de relacionamento e de um famoso bate-papo, e dados de gerenciadores online de senhas, sites adultos e de viagens vazaram", disse o funcionário do Google. "Estamos falando de requisições HTTPS completas, o endereço IP dos usuários, cookies, senhas, chaves de segurança, dados, tudo", exclamou.
A falha existia desde 22 de setembro de 2016, e, segundo a Cloudflare, uma equipe de segurança corrigiu o problema apenas 47 minutos depois de ser informada. Para minimizar o problema, a companhia alegou que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados.
O serviço também já entrou em contato com os principais motores de busca e solicitou que as páginas com informações vazadas fossem apagadas do cache. Ao todo, 770 páginas de 161 domínios foram encontradas nos índices do Google, Bing, Yahoo e outros mecanismos de busca.
No GitHub, é possível visualizar uma lista de sites e empresas que foram atingidos pela grave falha de segurança do Cloudflare. Algumas delas, como a AgileBits, já se pronunciaram sobre o caso. No caso da companhia dona do gerenciador de senhas 1Password, ela "não depende exclusivamente da criptografia SSL do Cloudflare" para manter seus dados e dos seus clientes seguros. Por isso nenhuma senha foi vazada ou está em risco.
Empresas como StackOverflow, Fastmail e Namecheap também disseram que não foi encontrado nenhum indício de que seus usuários tenham sido afetados pelo problema. Por isso, todos os dados estão seguros.