Cloudbleed, ¿otro desastre en Internet?

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Cloudflare es una CDN (Content Deliver Network) usada por millones de sitios web para distribuir su contenido y para protegerse frente a ataques como DDoS (Distributed Denial of Service). Básicamente funciona como un proxy entre los sitios web y los clientes, actuando como intermediario para liberar a los servicios web de la carga de atender peticiones.

Además de esta protección anti-ddos también ofrece otras características de seguridad y optimización de rendimiento como ofuscación de correos, Server-Side Excludes y HTTPS rewrites.

El pasado 18 de febrero, Tavis Ormandy de Project Zero avisó a Cloudflare de un fallo en sus sistemas debido a un error en su código fuente:

El error pude parecer insignificante, ya que consistía en que aparecía un símbolo “=” donde debería haber un “>”, pero fue suficiente para que durante meses se hayan estado produciendo fugas de información pertenecientes a los servicios web protegidos por Cloudflare.

/* generated code. p = pointer, pe = end of buffer */
if ( ++p == pe )
goto _test_eof;

Este fallo se manifestaba cuando una combinación particular de etiquetas HTML provocaba una confusión en los servidores proxy de Cloudflare y éstos presentaban información sensible de algunos de sus clientes en peticiones que se habían hecho a otros clientes. Aquí tenemos una captura en la que se observa que se entrega información de sesión de Fitbit al final de la página entregada en otra sesión completamente diferente:

Según esto, es perfectamente posible que cuando hayamos hecho una petición a una de las páginas protegidas por Cloudflare, nos haya llegado a nuestro navegador información personal de otros sitios y clientes: mensajes privados, información personal de identificación, credenciales de dispositivos, contraseñas, claves de APIs…

Por supuesto, Cloudflare respondió muy rápido y ya ha resuelto el problema, pero el error estuvo presente desde el 22-09-2016 al 20-02-2017, es decir, casi 5 meses. El principal riesgo es que durante ese periodo los motores de búsqueda como Google o Bing han estado almacenando esta información sensible en sus cachés. Cloudflare está trabajando con ellos para tratar de limpiar esa información lo antes posible.

Entre los sitios web afectados por este fallo hay algunos muy conocidos: Uber, ForoCoches, Fitbit, … Podemos ver una lista completa en Github:

https://github.com/pirate/sites-using-cloudflare

De acuerdo a los informes de la empresa, la información que se ha liberado es mínima y la probabilidad de que nuestra información personal se haya visto comprometida es de alrededor de 1 entre 3,3 millones. Sin embargo, es una buena idea cambiar nuestras contraseñas si hacemos uso de alguno de esos sitios, aunque esta recomendación deberíamos tenerla en cuenta no sólo cuando ocurre algo así, sino que tendríamos que cambiar nuestras contraseñas de forma periódica y nunca reutilizarlas en varios sitios web.

La empresa ha intentado tranquilizar a sus clientes, pero hace pocas horas que ha aparecido en un conocido foro de carding el siguiente anuncio en el que ofrecen a sus miembros VIP la posibilidad de comprar millones de logins de tarjetas de crédito:

Afirman haber obtenido estas credenciales utilizando Cloudbleed, pero no estamos seguros de si ha sido así. Habrá que seguir atentos a nuevas noticias al respecto.