Cloudflare Vulnerability

Un error en el software propietario de Cloudflare ha permitido que datos personales de usuarios de los servicios que utilizan esta CDN queden expuestos, aunque la compañía asegura no hay señales de que hayan sido explotados por hackers. En la red han comenzado a llamar a esta vulnerabilidad como Cloudbleed por las serias implicaciones que conlleva.

Cloudflare, debemos recordar, es uno de los servicios de alojamiento web y CDN más grandes de Internet con una cartera de clientes de hasta seis millones de sitios. Sus populares servicios para mitigar ataques DDoS y de CDN son utilizados por clientes tan importantes como Uber, FastMail, Nasdaq, Cisco, Taringa entre otros.

El ‘bug’, descubierto por ingenieros de Google, enviaba información no relacionada a los navegadores de los usuarios que visitaban sitios alojados por Cloudflare. Esto podría haber permitido que un hacker se hiciera con los datos de los usuarios de, por ejemplo, un servicio como Uber o de la comunidad de Taringa.

Los ingenieros de Cloudflare aseguran que las investigaciones preliminares indican que no hay evidencia de que hackers se hayan hecho con los datos de las webs. Además aseguran, que están trabajando con Google, Yahoo, y Bing para eliminar de los resultados de búsqueda todo rastro de los datos expuestos que hayan quedado indexados en los buscadores y que estén disponibles a través de su caché. Admiten eso sí, que el proceso está todavía incompleto lo que implica que todavía hay información que pueda ser accesible a través del caché de Google u otros buscadores.

Lo inquietante es que los datos han permanecido expuestos desde el 22 de Septiembre, pero entre el 13 y el 18 de Febrero –que se descubrió el bug– fue el periodo en el que los servicios sitios web se vieron más afectados. Graham-Cumming, jefe del departamento de tecnología ha dicho a Reuters que se estima que hasta 120,000 sitios web estuvieron exponiendo su información cada día.

¿Que tan grave es el Cloudbleed?

Tavis Ormandy, el ingeniero de Google que descubrió el bug, destaca que entre los datos que pudieron ser expuestos se encuentra: mensajes privados de servicios de citas, mensajes de los servicios de Chat, datos de los servicios de gestión de contraseñas, reservaciones de hoteles, cookies contraseñas, y claves de software. Cloudflare asegura que es imposible determinar la lista de clientes afectados con exactitud.

Entre algunos de las web que utilizan los servicios de Cloudflare se encuentran Uber, FitBit, FastMail, Nasdaq, Cisco, OKCupid, CoinBase, 4Chan, BitPay, DigitalOcean, Medium, ProductHunt, Transferwise, The Pirate Bay, Extratorrent, BitDefender, Pastebin, Zoho, Feedly, Ashley Madison, Bleeping Computer, The Register, 1Password y Taringa sólo por mencionar unos cuantos; varios usuarios han compilado en esta lista todos los servicios que utilizan Cloudflare. La empresa de análisis en seguridad NowSecure ha determinado que el alcance de Cloudbleed ha llegado hasta las aplicaciones móviles y han publicado una lista de hasta 200 aplicaciones que podrían estar afectadas.

Expertos en seguridad como Jonathan Subtlett de Shield Maiden, han asegurado que cualquiera que utilice sitios o servicios web alojados en Cloudflare “debe considerar sus datos públicos y trabajar en la seguridad de sus cuentas“.

Graham-Cumming de Cloudflare ha dicho que si bien no saben los clientes que realmente han sido afectados, no hay reportes de problemas de seguridad que estén relacionados a este incidente.

¿Qué debe hacer el usuario al respecto?

Como usuarios conectados a varios servicios, lo mejor que puede hacerse es reiniciar las contraseñas de todas las cuentas y utilizar un gestor de contraseñas. Como bien ha dicho Cloudflare, es difícil determinar los sitios que han sido afectados pero esta lista nos puede dar una idea, y esta otra nos puede ayudar a saber si una aplicación móvil está implicada también.

Cloudflare ha dicho que de momento no hay reportes de que la seguridad de estas webs haya sido comprometida, pero esto no significa que hackers se hayan hecho con los datos.

Los administradores de sitios que utilizan Cloudflare, ya habrán recibido la notificación de cambiar sus contraseñas, sin embargo, deberían considerar cambiar también las cuentas de los usuarios que utilizan esos sitios web.