Cloudbleed: Cloudflare machte sensible Daten öffentlich
Bei Cloudflare handelt es sich um ein sogenanntes Content Delivery Network, welches die digitalen Inhalte der eigenen Kunden wie beispielsweise Uber oder FitBit ausliefert, also Hosting- und Infrastrukturleistungen erbringt - und seit dem 22. September vom Betreiber unbemerkt auch sensible Daten an Unautorisierte „auslieferte“.
Der Fehler als solches betrifft einen HTML-Parser, welcher etwa HTTP- zu HTTPS-URLs umschreiben oder Mailadressen vor Spam schützen kann. Dieses neigte jedoch dazu, beim Vorliegen eines fehlerhaften HTML-Tags über den Ende des Speicherbereichs hinweg zu lesen.
Diese ausgelesenen Daten wurden vom Antwortserver schließlich an Nutzer gesendet. Dabei betont der Entdecker der Schwachstelle, Tavis Ormandy, dass so auch sensible Daten wie etwa private Nachrichten von Dating-Portalen zugänglich waren.
Die tatsächliche Tragweite der inzwischen behobenen Sicherheitslücke ist aktuell schwer einzuschätzen. Fakt ist: Der Fehler ließ sich nicht gezielt ausnutzen, lediglich eine bewusst hohe Anzahl von Anfragen generiert prinzipiell viele Datensätze mit potentiell vertraulichem Material. Problematisch hingegen ist die ungewisse Verteilung der geleakten Daten, zeitweise waren diese auch in den Caches der Suchmaschinenanbieter frei zugänglich.