Como um erro crítico pode ter espalhado milhões de dados de usuários pelo mundo

1-pefoGGPju2Yc3XLxYvNLnQ

A Clouflare, empresa que fornece infraestrutura de Internet, e que oferece uma variedade de serviços de desempenho e segurança para milhões de sites, revelou na quinta-feira (23/02/2017), que um bug causou o vazamento aleatório na Internet de dados potencialmente sensíveis de clientes.

A falha foi descoberta pela primeira vez pelo pesquisador de vulnerabilidades Tavis Ormandy em 17 de fevereiro, mas é possível que os dados estejam vazando desde 22 de setembro. Em determinadas condições, a plataforma Cloudflare inseriu dados aleatórios de alguns dos seus seis milhões de clientes, incluindo grandes nomes como Fitbit, Uber e OKCupid, para um site de menor proporção. Na prática, isso significa que um trecho de informações sobre uma viagem de Uber que você realizou, ou até mesmo sua senha, poderiam ter sido inseridas no código deste outro site.

De uma maneira geral, os dados vazados não foram publicados em sites conhecidos ou de alto tráfego, e mesmo que tivessem sido, eles não eram facilmente visíveis. Mas alguns dos dados incluíam cookies sensíveis, credenciais de login, chaves de API e outros tokens de autenticação importantes, incluindo algumas das chaves internas de criptografia do Cloudflare. E como o serviço do Cloudflare divulgava informações aleatórias, esses dados estavam sendo gravados em caches dos mecanismos de busca como Google, Bing e outros sistemas.

"Como o Cloudflare opera em uma infraestrutura grande e compartilhada, uma solicitação HTTP para um site Cloudflare vulnerável pode revelar informações sobre outros sites da empresa", explicou John Graham-Cumming, diretor da Cloudflare, em um post publicado na quinta-feira.

O vazamento não expôs as chaves de segurança da camada de transporte, usadas na criptografia HTTPS, mas parece haver dados potencialmente comprometidos, protegidos através de conexões HTTPS. Graham-Cumming acrescentou ainda que não há nenhuma indicação nos registros da Cloudflare ou em outro lugar de que hackers tinham se aproveitado da falha - a procura por dados vazados que ainda não foram utilizados tornou-se algo como uma caça ao tesouro na Internet.

A boa notícia é que Cloudflare agiu rapidamente para resolver o bug. A empresa aplicou uma correção preliminar menos de uma hora depois de identificar o problema, e corrigiu em definitivo a falha em todos os seus sistemas espalhados pelo mundo em menos de sete horas.

Enquanto isso a empresa tem trabalhado com o Google e outros motores de busca para limpar caches e controlar os dados expostos, de forma que as pessoas não realizem buscas para encontrar e coletar informações confidenciais referentes ao vazamento, consequências do problema.

O que acontece agora?


O CEO da Cloudflare, Matthew Prince, disse que apenas alguns dos clientes que possuem um determinado código HTML em seus sites e um conjunto específico de configurações do Cloudflare (cerca de 3.000 clientes no total) estavam disparando o bug enquanto ele estava ativo.

Os dados que vazaram e foram armazenados em seus sites podem vir de qualquer cliente da Cloudflare cujos dados permaneceram na memória do servidor durante a ocorrência do problema.

Prince diz que até agora a Cloudflare tem o conhecimento de que 150 de seus clientes foram impactados de alguma forma. "Obviamente isso é muito sério para nós, e é muito sério para os nossos clientes, mas as chances de isso ter um impacto maior são relativamente mínimas", diz Prince. "Nós não gostamos de estragar tudo. Isso dói. Eu não quero minimizar a gravidade deste problema. Foi um erro muito ruim".

Para mitigar qualquer risco que ainda permaneça, o pesquisador de segurança e ex-funcionário do Cloudflare Ryan Lackey sugere a mudança de senha para cada conta on-line existente, uma vez que o vazamento "Cloudbleed" pode ter exposto qualquer tipo de informação. "Temos um cenário em que todos os dados possíveis, que passaram pela Cloudflare, vazaram nos últimos seis meses, então existe muita informação em potencial", diz Lackey. "Mas as chances de qualquer informação ainda existir lá dentro são muito baixas".

Tomar medidas de segurança recomendadas, como atualizar senhas e habilitar a autenticação de dois fatores, é sempre a primeira e a melhor linha de defesa. E uma vez que este bug da Cloudflare tenha resultados tão imprevisíveis, está é a forma mais inteligente para se proteger, mesmo que você não tenha tido seus dados expostos.

Alguns clientes da Cloudflare estão mais tranquilos do que os outros. Por exemplo, o AgileBits, criador do popular gerenciador de senhas "1Password", que garantiu aos seus usuários na quinta-feira que nenhum de seus segredos, incluindo a senha mestra foi exposta devido ao bug. "Nós projetamos o aplicativo "1Password" com a expectativa de que SSL/TLS possa falhar", escreveu o diretor de segurança da AgileBits Jeffrey Goldberg. "De fato, são para incidentes como este que desenvolvemos o nosso projeto."

Porém, para os dados que foram publicados em formato de texto simples, o vazamento tem repercussões reais, especialmente se os hackers descobriram a falha antes de Ormandy. Então pode não ter valido a pena todo o trabalho.

"Não tenho certeza se é a maneira mais produtiva de atacar um determinado site", diz Lackey. "Eu acho que há maneiras mais fáceis de atacar quase tudo. E esse não é um bom ataque para ser direcionado contra um usuário em específico".

Neste momento, a grande lição que podemos tirar deste dramático incidente é de que a infraestrutura da Internet e os serviços de otimização como o oferecido pela Cloudflare podem ter proteções e recursos de segurança mais fortes a serem implementados, mas essa conveniência também cria um tipo diferente de risco em grande escala.

"O problema é que a Cloudflare se tornou um alvo tão grande que, se fosse seriamente comprometido, seria uma coisa potencialmente destruidora para a Internet", diz Lackey. "O impacto real deste incidente mostra como a Cloudflare se tornou crítica para internet."


Uma adaptação do artigo: Massive Bug May Have Leaked User Data From Millions of Sites. So … Change Your Passwords

About Contentools