Das Content Delivery Network Cloudflare ist momentan verantwortlich für einen der schwerwiegendsten Sicherheitsvorfälle. Tavis Ormandy von Googles Project Zero hat die Schwachstelle in dem HTML Parser Ihrer Edge-Server gefunden. Diese sind in manchen Fällen über das Ende Ihres Buffers gelaufen und haben Speicherbereich zurückgegeben, die private Informationen enthalten können. Unter anderem hat er so private Nachrichten großer Datingplattformen, Online Password Manager Daten und Hotelbuchungen gefunden. Das kritische an diesem Vorfall ist, dass es sich um vollständige https-requests, client IP-Adressen, Cookies, Passwörter, Daten und vieles mehr handelt. Bei diesen Daten handelt es sich um PII-Daten, das bedeutet Nutzer die vom Datenleck betroffen sind, sind potenziell identifizierbar. Aber nicht nur Daten zur Identifizierung sind im Leak enthalten, sondern zusätzlich sollen auch Gesundheitsinformationen in dem Datenleak zu finden sein, was die Kritikalität der Schwachstelle nur erhöht.
Cloudflare hat ungefähr zwei Millionen Webseiten in seinem Netzwerk. Diese zwei Millionen Seiten können alle von dem Informationsleck betroffen sein, momentan ist allerdings noch ungeklärt, welche Seiten konkret betroffen sind. Screenshots von Ormandy identifizieren Uber und OKCupid als definitiv betroffen. Cloudflare betreibt allerdings noch weitere Dienste wie zum Beispiel fitbit, Yelp, zendesk oder Salesforce.
Ein weiteres Problem ist, dass diese Seiten und Daten im Google-Cache vorhanden sind und somit schwer bis unmöglich komplett zu löschen sind. Cloudflare und Ormandy arbeiten zusammen um die Schwachstelle zu beseitigen und die sensiblen Daten aus dem Google Cache zu löschen.
Was können Nutzer von Betroffenen Seiten jetzt tun: “Das ist relativ einfach, wenn auch nervig”, sagt Matteo Cagnazzo vom Institut für Internet-Sicherheit, “man muss nun alle Passwörter der potenziell Betroffenen Seiten ändern um sicher zu gehen, dass geleakte Informationen nicht mehr korrekt sind und man von potenziellen öffentlich Zugänglichen Dumps nicht betroffen ist.”
“Betreiber von Webseiten, die Cloudflare nutzen, sollten darüber nachdenken, ob es sinnvoll ist, die Nutzer Ihrer Webseite darüber zu informieren und einen Passwort-Wechsel anzuregen.” Dieser Passwort-Wechsel ist natürlich ein sehr disruptiver Prozess, der das Vertrauen der Nutzer in den Dienst schädigen kann, daher sollten alle betroffenen Webseiten und Services evaluieren, ob ein erzwungener Passwort-Wechsel für Sie der geeignete Weg ist.
Lobenswert ist die schnelle Reaktion von Cloudflare auf die Veröffentlichung dieses Bugs. Sie haben den Sicherheitsvorfall öffentlich gemacht und die technischen Details erläutert. Am 18.02.2017 hatte Ormandy Kontaktinformationen bei Twitter angefragt und bereits am 23.02.2017 ist der Bug gefixt.
Mehr Infos unter: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/