Início » Antivírus e Segurança » Falha grave no Cloudflare vaza dados de milhões de sites

Falha grave no Cloudflare vaza dados de milhões de sites

Cloudflare é utilizado por 1Password, Uber, Patreon, Namecheap, Medium e outros grandes serviços

Paulo Higa Por

Uma falha grave no Cloudflare, serviço de entrega de conteúdo adotado por 5,5 milhões de sites, foi divulgada publicamente na noite desta quinta-feira (23). Chamada de Cloudbleed, em referência ao Heartbleed, a vulnerabilidade existia há cinco meses e expôs informações sensíveis, como cookies, senhas e chaves de criptografia, de grandes serviços.

O problema foi descoberto por Tavis Ormandy, pesquisador de segurança do Google. Ormandy trabalhava em um projeto de análise de dados quando encontrou informações que não batiam com o que ele esperava. Depois de discutir com integrantes do Project Zero, os funcionários concluíram que, em determinadas circunstâncias, o Cloudflare enviava cookies, tokens de autenticação e outros dados importantes no código-fonte das páginas.

A chave do bug está na própria forma como o Cloudflare funciona. O Tecnoblog é um dos milhões de sites que utiliza o serviço. Quando você abriu este artigo, na verdade, acessou os servidores do Cloudflare, que por sua vez puxaram a matéria dos nossos servidores próprios. Todos os textos e imagens são obrigatoriamente servidos pelo Cloudflare — nossos leitores não acessam nossos servidores diretamente.

No caminho entre você e nós, o Cloudflare faz otimizações de segurança e desempenho. Ele converte links HTTP para HTTPS e reduz o tamanho do HTML e do JavaScript, além de proteger o site contra ataques. O problema é que, quando três recursos do Cloudflare são ativados (Server Side Excludes, Automatic HTTPS Rewrites e Email Address Obfuscation), cookies e dados enviados por meio de formulários são vazados no código-fonte de outras páginas que também utilizam o Cloudflare.

Um vazamento do Cloudflare no cache do Google (Foto: Maximilian Hils)

As informações sensíveis chegaram a ser indexadas pelo cache do Google e outros motores de busca, segundo o Ars Technica. A falha existia desde 22 de setembro de 2016. O Cloudflare diz que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados.

Segundo o Cloudflare, a equipe de segurança desenvolveu uma correção inicial em 47 minutos depois de ser informada, com um patch definitivo sendo completado em menos de 7 horas. A empresa já entrou em contato com os principais motores de busca para que as páginas com informações vazadas fossem removidas dos caches. Foram encontradas 770 páginas de 161 domínios nos índices do Google, Bing, Yahoo e outros buscadores.

Esta página no GitHub mostra alguns dos sites que utilizam o Cloudflare e podem ter sido afetados pela vulnerabilidade. Serviços notáveis, que lidam com senhas, tokens, dinheiro e outros dados privados são os seguintes:

  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com
  • tfl.gov.uk
  • stackoverflow.com
  • fastmail.com
  • 1password.com

Algumas empresas que são clientes do Cloudflare já se pronunciaram sobre o problema.

A AgileBits diz que seu gerenciador de senhas 1Password não depende apenas da criptografia de SSL do Cloudflare para manter as informações dos usuários seguras, portanto, suas senhas não estão em risco. A empresa acalmou os usuários ressaltando que não é necessário alterar a senha-mestre do aplicativo.

A Namecheap informou que está investigando o caso e, até o momento, não encontrou indícios de que seus usuários tenham sido afetados pela falha do Cloudflare. Apesar disso, a empresa de domínios recomenda que os usuários ativem a autenticação em duas etapas caso ainda não tenham feito isso.

Fastmail e StackOverflow também afirmam que seus dados estão seguros.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rodrigo Gommes
Sim sim. Se não foi o cliente que fez a compra e não for constatado indício claro de dolo, o banco ressarce numa boa.
Rodrigo Gommes
É uma outra forma de se proteger também. Mas um e-card/e-wallet ainda é bem mais cômodo e seguro. =D
Rodrigo Gommes
a melhor solução que já vi para compras online no cartao de crédito.
maria da conceicao rodrigues d
Também fui deslogada o que muito me chateou... ja tentei diversas vezes fazer login dem sucesso que ódio...
Tiago Celestino
Don't be evil
abraaocaldas
Sabe o que é pior, é saber da sacanagem do pessoal do google: "We were working to disclose the bug as quickly as possible, but wanted to clean up search engine caches before it became public because we felt we had a duty of care to ensure that this private information was removed from public view. We were comfortable that we had time as Google Project Zero initially gave us a 90 day disclosure window (as can still be seen in their incident tracker), however after a couple of days, they informed us that they felt that 7 days was more appropriate. Google Project Zero ended up disclosing this information after only 6 days. We were actively sharing URIs/domains that needed to be purged from cache with search engines. It became clear that Google Project Zero planned to post about this vulnerability while this was ongoing. When they did so at 3pm Pacific today, we made our blog live so that the full details were public."
CtbaBr
É uma solução, realmente a ideia me interessou, vou pesquisar a respeito!
Luciano Rocha
Já mudei pro autenticador do Lastpass. Que susto!
Baidu feat MC Brinquedo
Eu uso o Nubank e tomo os seguintes cuidados: - Cartão sempre bloqueado! - Decorei e depois raspei o código de segurança do cartão; - Limite sempre o mínimo possível (tipo uns R$ 300 Temers). Mesmo que eu perca o cartão ele estará bloqueado, sem o código de segurança e com um limite pífio.
Maxnoob
"authy.com" tofu!
Gustavo
Mas o banco tem que devolver compras feitas sem o consentimento mesmo, inclusive quando não há seguro do cartão, segundo o Procon. Não sei porém se essa medida vale tanto para crédito quanto para débito.
Roger
Estou esperando algum anúncio deles... Mas já estou pensando em mudar também
Rodrigo Gommes
Para meios digitais sempre uso um e-card (espelho digital) do meu cartão principal. Pra ele escolho limite máximo, limite por transação, quantidades de transações e data de validade, podendo alterar qualquer um desses dados na hora q quiser. Facilidade do banco pra que a culpa não seja "nossa" quando esses dados vazarem. Fora que antes disse já tive "dados" vazados, compras realizadas sem meu consentimento, e o banco me devolveu tudo, até o IOF e taxa de cambio. =D
abraaocaldas
Parabéns ao Higa, parece que ele foi um dos únicos que leu o artigo no blog do cloudflare, a falha não era para todos os sites como um repositório no github está alardeando e para que a falha acontecesse o site precisaria ter as três opções citadas ativadas.
Rodrigo Silva Barretos
Será que seria uma boa mudar a conta-senha do Authy?
Exibir mais comentários