Falha grave no Cloudflare vaza dados de milhões de sites

Cloudflare é utilizado por 1Password, Uber, Patreon, Namecheap, Medium e outros grandes serviços

Paulo Higa
Por
• Atualizado há 1 semana

Uma falha grave no Cloudflare, serviço de entrega de conteúdo adotado por 5,5 milhões de sites, foi divulgada publicamente na noite desta quinta-feira (23). Chamada de Cloudbleed, em referência ao Heartbleed, a vulnerabilidade existia há cinco meses e expôs informações sensíveis, como cookies, senhas e chaves de criptografia, de grandes serviços.

O problema foi descoberto por Tavis Ormandy, pesquisador de segurança do Google. Ormandy trabalhava em um projeto de análise de dados quando encontrou informações que não batiam com o que ele esperava. Depois de discutir com integrantes do Project Zero, os funcionários concluíram que, em determinadas circunstâncias, o Cloudflare enviava cookies, tokens de autenticação e outros dados importantes no código-fonte das páginas.

A chave do bug está na própria forma como o Cloudflare funciona. O Tecnoblog é um dos milhões de sites que utiliza o serviço. Quando você abriu este artigo, na verdade, acessou os servidores do Cloudflare, que por sua vez puxaram a matéria dos nossos servidores próprios. Todos os textos e imagens são obrigatoriamente servidos pelo Cloudflare — nossos leitores não acessam nossos servidores diretamente.

No caminho entre você e nós, o Cloudflare faz otimizações de segurança e desempenho. Ele converte links HTTP para HTTPS e reduz o tamanho do HTML e do JavaScript, além de proteger o site contra ataques. O problema é que, quando três recursos do Cloudflare são ativados (Server Side Excludes, Automatic HTTPS Rewrites e Email Address Obfuscation), cookies e dados enviados por meio de formulários são vazados no código-fonte de outras páginas que também utilizam o Cloudflare.

Um vazamento do Cloudflare no cache do Google (Foto: Maximilian Hils)

As informações sensíveis chegaram a ser indexadas pelo cache do Google e outros motores de busca, segundo o Ars Technica. A falha existia desde 22 de setembro de 2016. O Cloudflare diz que o período de maior impacto foi entre os dias 13 e 18 de fevereiro, quando 1 em cada 3,3 milhões de requisições poderiam resultar em vazamento de dados.

Segundo o Cloudflare, a equipe de segurança desenvolveu uma correção inicial em 47 minutos depois de ser informada, com um patch definitivo sendo completado em menos de 7 horas. A empresa já entrou em contato com os principais motores de busca para que as páginas com informações vazadas fossem removidas dos caches. Foram encontradas 770 páginas de 161 domínios nos índices do Google, Bing, Yahoo e outros buscadores.

Esta página no GitHub mostra alguns dos sites que utilizam o Cloudflare e podem ter sido afetados pela vulnerabilidade. Serviços notáveis, que lidam com senhas, tokens, dinheiro e outros dados privados são os seguintes:

  • authy.com
  • coinbase.com
  • betterment.com
  • transferwise.com
  • prosper.com
  • digitalocean.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • zendesk.com
  • uber.com
  • namecheap.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • curse.com
  • counsyl.com
  • tfl.gov.uk
  • stackoverflow.com
  • fastmail.com
  • 1password.com

Algumas empresas que são clientes do Cloudflare já se pronunciaram sobre o problema.

A AgileBits diz que seu gerenciador de senhas 1Password não depende apenas da criptografia de SSL do Cloudflare para manter as informações dos usuários seguras, portanto, suas senhas não estão em risco. A empresa acalmou os usuários ressaltando que não é necessário alterar a senha-mestre do aplicativo.

A Namecheap informou que está investigando o caso e, até o momento, não encontrou indícios de que seus usuários tenham sido afetados pela falha do Cloudflare. Apesar disso, a empresa de domínios recomenda que os usuários ativem a autenticação em duas etapas caso ainda não tenham feito isso.

Fastmail e StackOverflow também afirmam que seus dados estão seguros.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Servidores da Cloudflare deixarão internet mais rápida em 32 cidades do Brasil
Servidores da Cloudflare deixarão internet mais rápida em 32 cidades do Brasil
Cloudflare troca reCaptcha após Google planejar cobrar milhões de dólares
Cloudflare troca reCaptcha após Google planejar cobrar milhões de dólares
Cloudflare lança eSIM para proteger dados e diminuir riscos de golpes
Cloudflare lança eSIM para proteger dados e diminuir riscos de golpes
Cloudflare diz que Brasil foi base para maior ataque DDoS da história
Cloudflare diz que Brasil foi base para maior ataque DDoS da história
IPTV pirata deverá ser bloqueada pelo Cloudflare, decide Justiça
IPTV pirata deverá ser bloqueada pelo Cloudflare, decide Justiça
Site popular para baixar músicas do YouTube entra na mira de gravadoras
Site popular para baixar músicas do YouTube entra na mira de gravadoras
Audiência do Twitter está em queda desde janeiro, mostra CEO do Cloudflare
Audiência do Twitter está em queda desde janeiro, mostra CEO do Cloudflare
DNS público 1.1.1.1 da Cloudflare ganhará VPN gratuita para iPhone e Android
DNS público 1.1.1.1 da Cloudflare ganhará VPN gratuita para iPhone e Android
WhatsApp lança extensão que alerta usuário se versão web for hackeada
WhatsApp lança extensão que alerta usuário se versão web for hackeada
Cloudflare registra novo recorde para ataque DDoS, e Brasil é uma das origens
Cloudflare registra novo recorde para ataque DDoS, e Brasil é uma das origens