Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Cloudflare-Lücke: Uber und Millionen Websites verbreiteten sensible Nutzerdaten

(Bild: Shutterstock)

Eine Software-Lücke bei Cloudflare hat dafür gesorgt, dass sensible Nutzerdaten offenbart wurden – und das nicht nur auf der eigenen Seite.

Eigentlich soll der Dienst Cloudflare vor allem vor DDoS-Angriffen schützen und eine Website sicherer und mit seinem CDN schneller machen. Eine jetzt bekannt gewordene Lücke offenbarte aber monatelang sensible Nutzerdaten wie Cookies, Passwörter und Tokens zur Authentifizierung.

Cloudflare-Lücke: 5 Millionen Websites betroffen

Über 5 Millionen Websites will Cloudflare mit seinem Dienst schützen – alle waren vom Bug betroffen. Diese haben auf ihrer Site neben dem Inhalt der Seite auch sensible Daten von anderen Websites ausgeliefert. Teile der Daten wurden automatisch von Suchmaschinen gecached, was die Beseitigung des Bugs noch aufwendiger machte. Der Bug war seit dem 22. September 2016 aktiv, wurde aber laut Cloudflare nicht ausgenutzt. Besonders schlimm soll er zwischen dem 13. und dem 18. Februar gewesen sein.

Obwohl viele Websites unter dem Bug litten, gibt Cloudflare in seinem Blog bekannt, dass nur rund 0,00003 Prozent aller Requests Daten mit ausgeliefert haben. Betroffen von der Lücke waren bekannte Vertreter wie Uber, Fitbit, Okcupid und 1Password, wobei letztere direkt in einer Stellungnahme deutlich gemacht haben, dass die Passwörter der Nutzer niemals gefährdet waren, da man sich dafür nicht nur auf TLS verließe.

Entdeckt wurde die Lücke von Google-Security-Experte Tavis Ormandy. Er habe private Nachrichten von Dating-Sites, ganze Nachrichten von Chat-Services oder Hotel-Buchungen mitlesen können. Ein gezieltes Auslesen von Daten sei aber nicht möglich gewesen.

Cloudflare: Die Ursache der Lücke

Das genaue Problem war im HTML-Parser beheimatet, der beispielsweise dafür zuständig war, HTTP-Links auf HTTPS umzuschreiben oder E-Mail-Adressen zu verbergen. Die Lücke wurde, nachdem Ormandy über Twitter Kontakt zu Cloudflare aufgenommen hatte, innerhalb von sechs Stunden in einer ersten Version geschlossen, nach sechs Tagen war sie vollends beseitigt. Cloudflare selbst war auch betroffen.

Der in seinem Bug-Report.

via techcrunch.com

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.