Cloudbleed: Schwere Lücke plaudert sensible Daten von Millionen Internet-Nutzern aus

25. Februar 2017, 10:50
40 Postings

Fehler mittlerweile behoben, aber Inhalte wohl zwischengespeichert und indiziert

Es ist ein sicherheitstechnischer Supergau. Eine Lücke in der Infrastruktur des Content Delivery Networks Cloudflare soll monatelang Zugriff auf versteckte Inhalte von Millionen Websites ermöglicht haben. In den sozialen Netzwerken wurde bereits ein Begriff für die Lücke gefunden: "Cloudbleed" – schließlich erinnert die Situation an den SSL-Bug Heartbleed, der im April 2014 für Schlagzeilen sorgte.

1Password: Keine Gefahr

Cloudflare wird von etlichen populären Web-Diensten genutzt, etwa 1Password, Uber, FitBit und OkCupid. Wie Heise.de schreibt meldete sich bereits 1Password zu Wort und gab an, dass es für die Nutzer keine Gefährdung gäbe, da die Daten verschlüsselt werden und man nicht alleine auf TLS vertraue. Cloudflare bietet einige Sicherheitsdienstleistungen für Website-Betreiber an, darunter ein DDoS-Schutz.

Fünf Monate lang offen

Entdeckt wurde der Programmierfehler von Googles Sicherheitsexperten Tavis Ormandy. Er fand die Lücke bereits vergangene Woche und meldete sich daraufhin auf Twitter mit dringlicher Bitte, dass ihn jemand von Cloudflare kontaktieren soll. Der Fehler wurde mittlerweile behoben. Seit dem 22. September sollen allerdings die Server des Dienstes Speicherinhalte verteilt haben, somit wird davon ausgegangen, dass insgesamt fünf Millionen Websites für circa fünf Monate betroffen waren.

Der besorgte Tweet von Travis Ormandy.

Sicherheitschef beschwichtigt

Cloudflare-Sicherheitschef John Graham-Cumming sieht hingegen keinen Grund zur Besorgnis. Laut ihm gäbe es keine Hinweise, dass vor Ormandy jemand anderer die Lücke gekannt habe. Allerdings wurden die ausgelieferten Daten von anderen Systemen zwischengespeichert und indiziert, etwa von Web-Crawlern oder Suchmaschinen. Ob und wo es somit Restbestände der sensiblen Inhalte gibt, ist vorerst nicht abzuschätzen. Heise.de weist allerdings darauf hin, dass die Speicherinhalte zufällig verteilt wurden und somit ein geringeres Risiko besteht.

Passwörter ändern angeraten

Ormandy selbst gab an, dass es keine Möglichkeit gegeben hatte, gezielt Daten auszulesen oder eine bestimmte Webseite anzugreifen. Ein wissender Angreifer hätte trotzdem geheime Inhalte mitlesen können. Welche Dienste nun betroffen sind, wurde bisher nicht verraten. Auf GitHub haben sich allerdings einige Nutzer zusammengefunden, um eine Liste der potentiell betroffenen Services zu erstellen. Dort wird auch angeraten, alle Passwörter zu ändern. (red, 25.02.2017)

  • Eine Lücke beim Sicherheitsdienstleister Cloudflare sorgte dafür, dass über Monate sensible Inhalte geteilt wurden. Besonders erschwerend: Die Daten, darunter Passwörter, wurden wohl zwischengespeichert und indiziert.
    foto: screenshot/webstandard

    Eine Lücke beim Sicherheitsdienstleister Cloudflare sorgte dafür, dass über Monate sensible Inhalte geteilt wurden. Besonders erschwerend: Die Daten, darunter Passwörter, wurden wohl zwischengespeichert und indiziert.

    Share if you care.