Klienci Cloudflare narażeni na wyciek wrażliwych danych

W dniach od 13 do 18 lutego miał miejsce wyciek wrażliwych danych z kont klientów Cloudflare. Jako pierwszy problem zauważył badacz bezpieczeństwa pracujący w Google, Tavis Ormandy. 24 lutego ujawnił informacje na temat wycieku danych użytkowników serwisów wykorzystujących usługę Cloudflare. Dane te to przede wszystkim hasła, ciasteczka, adresy IP, tokeny, dane osobowe, prywatne wiadomości, zdjęcia oraz klucze szyfrujące.

Kogo dotyczy problem?

Z Cloudflare korzysta ponad 5,5 miliona serwisów internetowych (m.in. Uber, FitBit, 1Password). Problem dotyczy ich wszystkich, bo jak zauważył Tavis Ormandy, serwery, z których pamięci dane były wstrzykiwane do odpowiedzi na żądania przypadkowym osobom, współdzielone są przez wielu klientów. Wśród wspomnianych wrażliwych danych znalazły się głównie klucze szyfrujące i klucze API, ciasteczka, hasła, adresy IP użytkowników, tokeny OAuth, parametry URI i fragmenty żądań POST. Otrzymywał je każdy, kto znalazł się na stronach współpracujących z Cloudflare. Niestety, dane były również odczytywane i zapamiętywane przez crawlery wyszukiwarek internetowych, które regularnie odwiedzają strony internetowe aby je zindeksować lub wykonać ich kopię. Jak łatwo wywnioskować, dane te nadal są zapisane na tysiącach dysków różnych firm crawlujących internet.

Co czytamy w oficjalnym oświadczeniu Cloudflare?

Cloudflare wydało oficjalne oświadczenie w tej sprawie, z którego wynika, że za błąd, a tym samym wyciek wrażliwych danych odpowiedzialne były funkcje, korzystające z tego samego wadliwego parsera HTML, zawierającego błąd klasy buffer overrun (użycie == zamiast >=). Funkcje te to: email obfuscation, Server-side Excludes, Automatic HTTPS Rewrites. Do wycieku doszło przede wszystkim w dniach od 13 do 18 lutego. Zachodził on z częstotliwością 1 żądania na każde 3,300,000 żądań obsługiwanych przez Cloudflare. Problem ujawniał się podczas odwiedzin stron z błędnymi tagami, które zostały też niestety zcache’owane przez wiele crawlerów. Dane te są wciąż dostępne dla właścicieli firm crawlujących internet (Google i Bing zdążyli już skasować cache).

Które popularne w Polsce serwisy były narażone na wyciek wrażliwych danych?

Wśród dotkniętych serwisów znalazły się m.in.: antyweb.pl, cda.pl, chomikuj.pl, demotywatory.pl, fotka.pl, kwejk.pl, peb.pl, sadistic.pl, trojmiasto.pl.

Wyciec mogły dane każdego użytkownika tych serwisów, nie tylko korzystającego z przeglądarki internetowej, ale także z aplikacji mobilnej. Wyciek wrażliwych danych, takich jak adres IP, hasła, tokeny, wiadomości prywatne, może doprowadzić do próby przejęcia prywatnego konta (o ile ktoś te dane przejął). Najlepiej więc jak najszybciej zmienić hasła w serwisach wykorzystujących usługę Cloudflare. Dobrym pomysłem jest też włączenie 2FA (dwuetapowe uwierzytelnianie użytkownika) na każdym serwisie, który na to pozwala. Nie pomoże to w przypadku, gdy ktoś pozyskał token sesyjny użytkownika i serwis nie wiąże go z lokalizacją przeglądarki, ale znacznie ograniczy możliwość przejęcia konta w przypadku pozyskania jedynie hasła.

My już zmieniliśmy nasze hasła a ty?