En allvarlig säkerhetsrisk har upptäckts i Cloudflares nätverk – nu kan många stora webbplatser ha exponerat känsliga data. Säkerhetsmissen har redan döpts till Cloudbleed.
Foto: Bogdan Migulski
Det tämligen okända företaget Cloudflare är en stor internetaktör med tjänster som hanterar innehåll, prestanda, säkerhet och kryptering för anslutna kunders webbplatser. Många stora och kända webbaktörer är deras kunder och totalt handlar det om över 5,5 miljoner webbplatser vilkas trafik passerar Cloudflares servrar. Nu varnar man sina kunder för ett allvarligt fel som kan ha exponerat känslig information, inklusive lösenord, kakor och sessionsnycklar som används för att autentisera användare.
Säkerhetsmissen har snabbt döpts till Cloudbleed efter den stora Heartbleed-buggen som upptäcktes 2014, men tros vara värre än Heartbleed. Problemet upptäcktes av Googles säkerhetsteam Project Zero och består i en mycket trivial kodningsmiss.
Ett borttappat tecken ledde till Cloudbleed
Ett enda borttappat tecken, det vanliga >, har lett till en kontroll av ”lika med” i stället för ”större än eller lika med”, något som har lett till buffertöverskridning. Detta har inneburit att data från en webbläsarsession har kunnat läcka över till andra – även från https-skyddade sidor.
Trafiken har helt enkelt blandats ihop och data kan ha landat hos fel mottagare. Cloudflare själva säger att felet har funnits några veckor, men enligt Google kan det vara mycket längre än så. Även om det nu är åtgärdat är ett stort problem att många av de felaktiga sidorna ännu går att hitta med en vanlig sökning på grund av att de fortfarande är cachelagrade.
Säkerhetsexperter säger att det är ett stort problem att så många av internets största webbplatser förlitar sig på en och samma leverantör.
.
