Potężny wyciek danych mógł dotknąć miliony witryn. Nikt nie jest bezpieczny
Cloudflare to firma oferująca usługi dostarczania treści oraz serwery nazw. Teraz to także wielki kłopot dla jej klientów, wśród których znajdują się np. Uber czy OkCupid. Błąd w oprogramowaniu spowodował olbrzymi wyciek danych z sesji. Dziurę odkrył Tavis Ormandy z google'owskiej grupy Project Zero. W pamięci podręcznej wyszukiwarki Google znalazł on olbrzymią liczbę kluczy sesji, ciasteczek i haseł z witryn, które odwiedziły roboty Google'a. Problem w tym, że dane pozwalały na logowanie się jako inny użytkownik.
Problem, na który natrafiłem, był tak poważny, że zmieniłem plany na weekend i przyszedłem do pracy w niedzielę, by pomóc w budowie narzędzi do posprzątania tego bałaganu. Poinformowałem Cloudflare nad czym pracuję. Miałem dostęp do prywatnych wiadomości z serwisów randkowych, tekstów rozmów prowadzonych na znanym czacie, danych z menedżerów haseł, fragmentów filmów ze stron dla dorosłych, danych dotyczących rezerwacji pokojów hotelowych. Mówimy tutaj o pełnej treści zapytań HTTPS, numerach IP internautów, odpowiedzi serwerów na zapytania, ciasteczkach, hasłach, kluczach, danych, o dosłownie wszystkim.
Szczegółowe badania wykazały, że przyczyną wycieku jest błędne działanie funkcji Email Obfuscation, Server-Side Excludes oraz Automatic HTTPS Rewrites. Problemy rozpoczęły się, gdy programiści Cloudflare'a postanowili napisać nowy parser HTML dla swoich serwerów brzegowych. Parser został napisany w języku C przy pomocy narzędzia Ragel. W kodzie pojawił się jednak błąd, gdyż programiści użyli == zamiast >=, co spowodowało wyciek danych z przepełnionych buforów.
Cloudflare bardzo szybko podjął działania zmierzające do zabezpieczenia swoich klientów i poprawienia błędu, jednak mleko już się rozlało. Co prawda Cloudflare informuje, że dane wyciekały zaledwie przez 6 dni (pomiędzy 13 a 18 lutego) i wyciek pojawiał się jedynie w 1 żądaniu na 3300000, jednak problem jest poważny, gdyż z Cloudflare'a korzysta 5,5 miliona serwisów internetowych, a poufne dane zostały zaindeksowane przez liczne wyszukiwarki. Google i Bing usunęły już te informacje ze swoich narzędzi, ale z pewnością znajdziemy je w innych mniej popularnych serwisach.
Ofiarami wycieku padły też polskie witryny. Z pojawiających się w sieci informacji wynika, że problem mógł dotknąć m.in. serwisów antyweb.pl, cda.pl, chomikuj.pl, demotywatory.pl, fotka.pl, kwejk.pl, peb.pl, sadistic.pl czy trojmiasto.pl. GoldenLine.pl także korzysta z usług Cloudflare, ale nie w obszarze, którego dotyczył błąd:
W wyniku przeprowadzonej dodatkowej kontroli możemy potwierdzić, że nie używamy tych usług Cloudflare, które były narażone na błąd pod nazwą „Cloudbleed”. Oznacza to, że wrażliwe dane naszych użytkowników nie mogły ulec udostępnieniu osobom trzecim. – GoldenLine.pl
Co zaś może zrobić przeciętny użytkownik obawiający się, że jego hasła mogły stać się informacją publiczną? Przede wszystkim powinien pobrać plik tekstowy, w którym wymieniono wszystkie domeny, korzystające z Cloudflare'a i jeśli znajdzie wśród nich domenę, do której się loguje, zmienić w niej hasło. Warto też wziąć pod uwagę fakt, że nawet jeśli domeny, z której korzystamy, nie ma na liście, to teoretycznie też mogła ona paść ofiarą wycieku. Jedna z domen z listy mogła bowiem wysłać zapytanie do naszej domeny.
