News

Cloudflare-Lücke: Uber und Millionen Websites verbreiteten sensible Nutzerdaten

(Bild: Shutterstock)

Eine Software-Lücke bei Cloudflare hat dafür gesorgt, dass sensible Nutzerdaten offenbart wurden – und das nicht nur auf der eigenen Seite.

Eigentlich soll der Dienst Cloudflare vor allem vor DDoS-Angriffen schützen und eine Website sicherer und mit seinem CDN schneller machen. Eine jetzt bekannt gewordene Lücke offenbarte aber monatelang sensible Nutzerdaten wie Cookies, Passwörter und Tokens zur Authentifizierung.

Cloudflare-Lücke: 5 Millionen Websites betroffen

Über 5 Millionen Websites will Cloudflare mit seinem Dienst schützen – alle waren vom Bug betroffen. Diese haben auf ihrer Site neben dem Inhalt der Seite auch sensible Daten von anderen Websites ausgeliefert. Teile der Daten wurden automatisch von Suchmaschinen gecached, was die Beseitigung des Bugs noch aufwendiger machte. Der Bug war seit dem 22. September 2016 aktiv, wurde aber laut Cloudflare nicht ausgenutzt. Besonders schlimm soll er zwischen dem 13. und dem 18. Februar gewesen sein.

Obwohl viele Websites unter dem Bug litten, gibt Cloudflare in seinem Blog bekannt, dass nur rund 0,00003 Prozent aller Requests Daten mit ausgeliefert haben. Betroffen von der Lücke waren bekannte Vertreter wie Uber, Fitbit, Okcupid und 1Password, wobei letztere direkt in einer Stellungnahme deutlich gemacht haben, dass die Passwörter der Nutzer niemals gefährdet waren, da man sich dafür nicht nur auf TLS verließe.

Entdeckt wurde die Lücke von Google-Security-Experte Tavis Ormandy. Er habe private Nachrichten von Dating-Sites, ganze Nachrichten von Chat-Services oder Hotel-Buchungen mitlesen können. Ein gezieltes Auslesen von Daten sei aber nicht möglich gewesen.

Cloudflare: Die Ursache der Lücke

Das genaue Problem war im HTML-Parser beheimatet, der beispielsweise dafür zuständig war, HTTP-Links auf HTTPS umzuschreiben oder E-Mail-Adressen zu verbergen. Die Lücke wurde, nachdem Ormandy über Twitter Kontakt zu Cloudflare aufgenommen hatte, innerhalb von sechs Stunden in einer ersten Version geschlossen, nach sechs Tagen war sie vollends beseitigt. Cloudflare selbst war auch betroffen.

Der in seinem Bug-Report.

via techcrunch.com

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung