Eine gewaltige Sicherheitslücke bei dem CDN Anbieter Cloudflare hat monatelang für ein Datenleck bei mehreren Millionen Websites gesorgt. Der Anbieter hat fremde Inhalte bei dem Website-Aufruf mitgeschickt, weshalb Nutzer recht leicht an Passwörter und IP-Adressen anderer Internetnutzer kommen konnten. Allerdings sei die Sicherheitslücke vermutlich nicht ausgenutzt worden. Betroffen sind jedoch auch bekannte Dienste wie 1Password.
Bei Cloudflare handelt es sich um den größten Content Delivery Network Anbieter, welcher Website Anbietern ermöglicht, Inhalte von dessen Cloudflare-Server zu laden. Damit können Websites ihre Lasten verteilen und ihre Internetseiten beschleunigen. Derzeit nutzen fünf Millionen Websites den CDN Anbieter. Wie nun der Sicherheitsexperte Tavis Ormandy, tätig bei Google, herausgefunden hat, klaffte bei Cloudflare monatelang eine gigantische Sicherheitslücke. Die auf den Namen Cloudbleed getaufte Schwachstelle hat bei einem Speicherüberlauf Daten öffentlich gecached und sogar bei einem Websiteaufruf an falsche Internetseiten geschickt.
Im schlimmsten Fall sind Nutzereingaben, welche über Websites mit Cloudflare getätigt wurden, nicht nur beim eigentlichen Websitebetreiber gelandet, sondern wurden öffentlich gespeichert oder an andere Internetnutzer ausgeliefert. Deshalb haben Suchmaschinen teilweise sogar öffentliche E-Mail Adressen, IP-Adressen und sogar unverschlüsselte Passwörter indexiert, welche der Nutzer freiwillig eingegeben hat. Auch gesamte Konversationen können von Cloudbleed betroffen sein. Allerdings kann sich der Nutzer davor auch nicht schützen.
Bereits seit dem 22. September soll Cloudbleed existieren. Über fünf Millionen Websites nutzen Cloudflare, darunter FitBit, Uber oder der Passwortmanager 1Password. Bei 1Password ist Cloudbleed vor allem dann riskant, wenn die Nutzer die neue recht neue Onlineverwaltung ihrer Passwörter verwendet haben. Der Anbieter hat allerdings bereits mitgeteilt, dass Kundendaten beziehungsweise Passwörter aufgrund der individuellen Verschlüsselung nicht in Gefahr gewesen seien.
Wie Cloudflare selbst mitteilte, habe Cloudbleed innerhalb der fünf Monaten erst im Februar seine aktivste Zeit erreicht. Zwischen dem 13. und 18. Februar gingen so viele HTTP- beziehungsweise HTTPS-Anfragen ein, wie sonst nicht in dem Zeitraum. Deshalb seien Nutzer vor allem in diesen sechs Tagen besonders betroffen gewesen. Nachdem der Sicherheitsexperte das Sicherheitsrisiko gemeldet hatte, konnte der Bug innerhalb weniger Stunden geschlossen werden.
Der CDN-Anbieter geht übrigens davon aus, dass vor dem Sicherheitsexperten niemand etwas von Cloudbleed gemerkt habe. Das heißt im Umkehrschluss, dass niemand die Schwachstelle ausgenutzt hat. Ohnehin wurden die Daten nur versteckt mitgeschickt, weshalb Hacker hätten aktiv nach diesen Suchen müssen. Nichts desto trotz sind noch immer zahlreiche Daten von den Suchmaschinen indexiert. Da diese jedoch auf rund Millionen Websites verteilt sind, lassen sich diese nur schwer entfernen. Allerdings können diese Daten aus dem selben Grund auch nur schwer rekonstruiert und weiterverwendet werden.