Cloudbleed: Bug bei Cloudflare macht fünf Millionen Websites zum Datenleck
Eine gewaltige Sicherheitslücke bei dem CDN Anbieter Cloudflare hat monatelang für ein Datenleck bei mehreren Millionen Websites gesorgt. Der Anbieter hat fremde Inhalte bei dem Website-Aufruf mitgeschickt, weshalb Nutzer recht leicht an Passwörter und IP-Adressen anderer Internetnutzer kommen konnten. Allerdings sei die Sicherheitslücke vermutlich nicht ausgenutzt worden. Betroffen sind jedoch auch bekannte Dienste wie 1Password.
Bei Cloudflare handelt es sich um den größten Content Delivery Network Anbieter, welcher Website Anbietern ermöglicht, Inhalte von dessen Cloudflare-Server zu laden. Damit können Websites ihre Lasten verteilen und ihre Internetseiten beschleunigen. Derzeit nutzen fünf Millionen Websites den CDN Anbieter. Wie nun der Sicherheitsexperte Tavis Ormandy, tätig bei Google, herausgefunden hat, klaffte bei Cloudflare monatelang eine gigantische Sicherheitslücke. Die auf den Namen Cloudbleed getaufte Schwachstelle hat bei einem Speicherüberlauf Daten öffentlich gecached und sogar bei einem Websiteaufruf an falsche Internetseiten geschickt.
Im schlimmsten Fall sind Nutzereingaben, welche über Websites mit Cloudflare getätigt wurden, nicht nur beim eigentlichen Websitebetreiber gelandet, sondern wurden öffentlich gespeichert oder an andere Internetnutzer ausgeliefert. Deshalb haben Suchmaschinen teilweise sogar öffentliche E-Mail Adressen, IP-Adressen und sogar unverschlüsselte Passwörter indexiert, welche der Nutzer freiwillig eingegeben hat. Auch gesamte Konversationen können von Cloudbleed betroffen sein. Allerdings kann sich der Nutzer davor auch nicht schützen.
Bereits seit dem 22. September soll Cloudbleed existieren. Über fünf Millionen Websites nutzen Cloudflare, darunter FitBit, Uber oder der Passwortmanager 1Password. Bei 1Password ist Cloudbleed vor allem dann riskant, wenn die Nutzer die neue recht neue Onlineverwaltung ihrer Passwörter verwendet haben. Der Anbieter hat allerdings bereits mitgeteilt, dass Kundendaten beziehungsweise Passwörter aufgrund der individuellen Verschlüsselung nicht in Gefahr gewesen seien.
Wie Cloudflare selbst mitteilte, habe Cloudbleed innerhalb der fünf Monaten erst im Februar seine aktivste Zeit erreicht. Zwischen dem 13. und 18. Februar gingen so viele HTTP- beziehungsweise HTTPS-Anfragen ein, wie sonst nicht in dem Zeitraum. Deshalb seien Nutzer vor allem in diesen sechs Tagen besonders betroffen gewesen. Nachdem der Sicherheitsexperte das Sicherheitsrisiko gemeldet hatte, konnte der Bug innerhalb weniger Stunden geschlossen werden.
Der CDN-Anbieter geht übrigens davon aus, dass vor dem Sicherheitsexperten niemand etwas von Cloudbleed gemerkt habe. Das heißt im Umkehrschluss, dass niemand die Schwachstelle ausgenutzt hat. Ohnehin wurden die Daten nur versteckt mitgeschickt, weshalb Hacker hätten aktiv nach diesen Suchen müssen. Nichts desto trotz sind noch immer zahlreiche Daten von den Suchmaschinen indexiert. Da diese jedoch auf rund Millionen Websites verteilt sind, lassen sich diese nur schwer entfernen. Allerdings können diese Daten aus dem selben Grund auch nur schwer rekonstruiert und weiterverwendet werden.
Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!
Ähnliche Artikel
1Password für Mac wird intelligenter
Jeder kennt ihn, viele nutzen ihn: die Rede ist von 1Password. Der Passwortmanager ist seit heute Nacht noch intelligenter. Ein
AgileBits erhöht Preis von 1Password – Mac und Windows betroffen
Passwortmanager sind heutzutage weit verbreitet. Einer der bekanntesten ist 1Password, welcher auch schon einige Preise abstauben konnte. Doch heute sorgt
Agilebits führt Familien-Abonnement für 1Password ein
Der bekannte Passwortmanager 1Password musste bislang für jedes Betriebssystem einzeln gekauft werden. Eine Ausnahme machten Android und iOS. Für diese beiden