Notebookcheck Logo

Cloudbleed: Cloudflare machte sensible Daten öffentlich

Cloudbleed: Cloudflare machte sensible Daten öffentlich
Cloudbleed: Cloudflare machte sensible Daten öffentlich
Durch einen fehlerhaft implementierter Parser des CDN-Anbieters wurden Seiten mit sensiblen Speicherinhalt an (meist unwissende) Nutzer ausgeliefert.

Bei Cloudflare handelt es sich um ein sogenanntes Content Delivery Network, welches die digitalen Inhalte der eigenen Kunden wie beispielsweise Uber oder FitBit ausliefert, also Hosting- und Infrastrukturleistungen erbringt - und seit dem 22. September vom Betreiber unbemerkt auch sensible Daten an Unautorisierte „auslieferte“.

Der Fehler als solches betrifft einen HTML-Parser, welcher etwa HTTP- zu HTTPS-URLs umschreiben oder Mailadressen vor Spam schützen kann. Dieses neigte jedoch dazu, beim Vorliegen eines fehlerhaften HTML-Tags über den Ende des Speicherbereichs hinweg zu lesen.

Diese ausgelesenen Daten wurden vom Antwortserver schließlich an Nutzer gesendet. Dabei betont der Entdecker der Schwachstelle, Tavis Ormandy, dass so auch sensible Daten wie etwa private Nachrichten von Dating-Portalen zugänglich waren. 

Die tatsächliche Tragweite der inzwischen behobenen Sicherheitslücke ist aktuell schwer einzuschätzen. Fakt ist: Der Fehler ließ sich nicht gezielt ausnutzen, lediglich eine bewusst hohe Anzahl von Anfragen generiert prinzipiell viele Datensätze mit potentiell vertraulichem Material. Problematisch hingegen ist die ungewisse Verteilung der geleakten Daten, zeitweise waren diese auch in den Caches der Suchmaschinenanbieter frei zugänglich.

Quelle(n)

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2017-02 > Cloudbleed: Cloudflare machte sensible Daten öffentlich
Autor: Silvio Werner, 24.02.2017 (Update: 15.05.2018)