Falha no Cloudflare pode expor localização de usuários de Discord

Vulnerabilidade do sistema da Cloudflare também afeta localização de usuários do X e Signal. Empresa corrigiu problema, mas solução pode ser contornada

Felipe Freitas
• Atualizado hoje às 17:12
Ilustração de cadeado vermelho, representando segurança
Vulnerabilidade no sistema de armazenamento da Cloudflare permite descobrir área em que usuário está (ilustração: Vitor Pádua/Tecnoblog)
Resumo
  • Uma falha no sistema da Cloudflare foi descoberta, permitindo identificar a localização aproximada de usuários do Discord, X e Signal.
  • A empresa é uma das maiores no ramo de tecnologia de infraestrutura para internet, com foco em segurança, e afirma ter corrigido parcialmente o problema.
  • A Cloudflare atribui a vulnerabilidade às configurações de segurança de seus clientes (Discord, X e Signal), e não ao seu próprio sistema.
  • O Discord responsabilizou a Cloudflare pelo erro, enquanto o Signal garantiu que não coleta dados de localização de seus usuários.

Um pesquisador de cibersegurança encontrou uma falha grave no sistema da Cloudflare. A falha permite que agentes mal-intencionados descubram qual data center foi usado por aplicativos de mensagens/comunicação para armazenar uma imagem, o que pode ser usado para identificar a localização de um usuário. Discord, X e Signal podem ser alvo dessa falha.

O caso foi revelado pelo site 404 Media, que chegou a realizar alguns testes para identificar a localização das pessoas. O veículo cita que os dados obtidos não são precisos, sendo possível descobrir apenas o estado ou cidade.

Contudo, vale lembrar que, em alguns casos, apenas identificar a cidade e região metropolitana de uma pessoa já é o suficiente para trazer riscos. Uma pessoa que usa o Signal para se proteger de perseguição política em seu país natal, por exemplo, pode ficar em perigo se sua cidade de exílio for revelada — aliás, só a descoberta do país do asilo já pode ser um perigo.

Imagem mostra região de Nova York com identificador de local e círculo vermelho indicando área na qual o usuário pode estar (imagem: reprodução/404 Media)
Sistema desenvolvido por hacker permite descobrir possível localização de usuários do Discord, X e Signal (imagem: reprodução/404 Media)

Como funciona essa vulnerabilidade da Cloudflare?

Como explicado pelo descobridor da vulnerabilidade no seu GitHub, a Cloudflare armazena/faz o cache de conteúdos nos seus data centers. A empresa, sendo uma das maiores do segmento, possui servidores em diversas localidades do mundo. Se ela não encontra o arquivo desejado no data center mais próximo do usuário, busca em outro e armazena naquele — esse sistema, batizado de CDN, também permite uma conexão mais veloz.

A informação da requisição de cache inclui o código IATA do aeroporto mais próximo do data center. Assim, um agente mal-intencionado pode buscar pelos data centers da Cloudflare na região do aeroporto e identificar onde está o alvo. Daniel, que descobriu a falha, relata que há um servidor da empresa a menos de 160 km de onde ele mora.

O hacker (no sentido original da palavra, alguém que usa o conhecimento de tecnologia para o bem) fez testes com ele mesmo. Em um deles, usando o Signal, ele conseguiu descobrir o servidor que armazenou a imagem sem que a conversa fosse aberta: bastou a notificação push do aplicativo.

A Cloudflare já apresentou uma solução?

Lista de servidores que armazenaram o arquivo em cache
Um teste de Daniel mostrou que era possível encontrar servidores no qual imagem de um site foi salvo e tempo desde o último acesso (imagem: reprodução/Daniel)

A Cloudflare já corrigiu, em partes, o problema. Após apresentar a solução, Daniel rodou novamente o sistema criado para identificar os servidores usando uma VPN. Novamente ele conseguiu identificar os data centers que armazenaram os arquivos.

Segundo o hacker, a Cloudflare não buscou uma correção após ele retomar o contato sobre a situação. A empresa alega que a vulnerabilidade não está no seu sistema, mas dos clientes — como Discord e Signal.

Contudo, o Discord culpa a Cloudflare, enquanto o Signal afirma que não é responsável por garantir a proteção à identidade dos usuários. Lembrando que o Signal se vende como um app de mensagens voltado à privacidade e proteção. O Telegram, por exemplo, não passa pelo problema por usar um protocolo próprio para realizar o cache.

Com informações de 404 Media

Responde

Servidores do Discord só podem ser excluídos pelo dono; processo é irreversível e nenhuma informação pode ser recuperada ao apagar o canal
Como excluir um servidor do Discord pelo PC ou celular
Saiba o que é Discord e para que serve o programa de conversa via texto e áudio, que é muito usado em games e em podcasts
O que é Discord? Conheça funções, planos e dicas de segurança
Excluir uma conta do Discord é um processo irreversível e que anonimiza todas as interações do usuário na plataforma
Como excluir ou desativar a conta do Discord
Aprenda como usar o Discord, o software de chat criado para gamers, mas que também pode ser usado no gerenciamento de times
Como usar o Discord [Guia para Iniciantes]

Relacionados

Entenda como usar o Signal, mensageiro que chama a atenção de usuários devido controles de privacidade do aplicativo
Como usar o Signal [Guia para Iniciantes]
Confira nosso guia e aprenda como fazer uma chamada de vídeo no Discord, seja com amigos, grupos ou membros do mesmo servidor
Como fazer chamada de vídeo no Discord
Aprenda o passo a passo de como mudar o fundo do Discord, um recurso disponível exclusivamente para servidores verificados
Como mudar o fundo do Discord [Banner do Servidor]
Adaptação de texto; saiba como escrever colorido no Discord e executar outras formatações para o texto ser único
Como escrever colorido no Discord [Formatar texto]

Escrito por

Felipe Freitas

Felipe Freitas

Repórter

Felipe Freitas é jornalista graduado pela UFSC, interessado em tecnologia e suas aplicações para um mundo melhor. Na cobertura tech desde 2021 e micreiro desde 1998, quando seu pai trouxe um PC para casa pela primeira vez. Passou pelo Adrenaline/Mundo Conectado. Participou da confecção de reviews de smartphones e outros aparelhos.