2255406

Cloudbleed: Lücke trifft Millionen User und Seiten

24.02.2017 | 14:46 Uhr |

Das ist äußerst übel: Durch einen Bug sind persönliche Daten von Millionen Nutzern populärer Websites ins Netz gelangt.

CloudFlare hat in einer Mitteilung einen schweren Bug in seinem Produkt eingeräumt. Das Content Delivery Netzwerk wird von über 5,5 Milllionen Websites eingesetzt, darunter auch von populären Seiten wie etwa Uber.

Bei dem Bug handelt es sich um ein Speicherleck, durch das persönliche Informationen von Nutzern über Monate hinweg versehentlich ohne Schutz im Internet geleakt wurden. Das können beispielsweise privat versendete Nachrichten, Passwörter oder andere persönliche Informationen gewesen sein. Noch dramatischer macht die Angelegenheit, dass diese Inhalte auch bei Suchmaschinen wie Google, Bing und Yahoo im Cache landeten und somit über die Suchmaschinen auch auffindbar sind. Dementsprechend hat Cloudfare auch schon Google und alle anderen Suchmaschinenbetreiber kontaktiert, damit die Daten gelöscht werden.

Entdeckt wurde die Sicherheitslücke von einem Sicherheitsforscher, der bei Googles Project Zero arbeitet und Tavis Ormandy heißt. Aufgrund der immensen Auswirkungen des Vorfalls bezeichnet Ormandy ihn in einem Blog-Eintrag auch als "Cloudbleed", in Anspielung auf die Heartbleed-Lücke, die vor drei Jahren für Schlagzeilen sorgte.

Ormandy tweetete am 18. Februar ein SOS: Jemand von Cloudfare solle sich so schnell wie möglich und aus dringenden Gründen bei ihm melden. CloudFare erfuhr dann, dass das Problem seit mindestens dem 22. September 2016 existierte. Zwischen dem 13. und 18. Februar 2017 war es aber besonders schlimm. Alle 3,3 Millionen HTTP-Aufrufe wurden die dabei übertragenen persönlichen Nutzerdaten geleakt. In seiner Mitteilung spricht Cloudfare davon, dass beim Höhepunkt 0,0003 Prozent aller Anfragen öffentlich im Netz landeten. Angesichts der Millionen von Websites, die Cloudfare einsetzen und der wiederum Millionen von Nutzern dieser Websites, dürfte die Menge der geleakten Informationen enorm sein.

Der Bug selbst steckte im HTML-Parser, der die Performance der Websites erhöhen soll, wie Cloudfare erläutert. Der HTML-Parser wird auch dazu verwendet, um Websites in Googles mobiler Publishing-Plattform AMP auszuliefern und hilft dabei, die HTTP- in HTTPS-Links umzuwandeln. Weil Cloudfare natürlich selbst sein eigenes Content Delivery Netzwerk einsetzt, war das Unternehmen auch selbst betroffen.

Der Bug wurde mittlerweile behoben. Anschließend ging Cloudfare nun an die Öffentlichkeit, um diese zu informieren.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2255406