El pasado viernes Tavis Ormandy, miembro de Google Project Zero, descubrió un bug en el código de CloudFlare que provocó la exposición de millones de datos de sitios web de empresas como Uber, Fitbit y OkCupid. Ormandy pidió a la compañía, a través de un tuit, que se comunicaran con él de manera urgente.
Could someone from cloudflare security urgently contact me.
— Tavis Ormandy (@taviso) February 18, 2017
Cloudflare se dedica a ofrecer protección contra ataques DDoS a millones de sitios web, y la información expuesta contenía direcciones IP, cookies y tokens de acceso de sus clientes. El error no sólo afectó a Uber, Fitbit y OkCupid, también a otros sitios que utilizan el protocolo HTTPS. Según explican en Github, 4 millones 287 mil 625 sitios fueron posiblemente afectados.
En el comunicado de la compañía, el periodo de mayor impacto ocurrió del 13 al 18 de febrero, y aunque el error dentro de su sistema ha sido resuelto, el problema es que Google, Bing y Yahoo tienen los datos en su caché. Así que Cloudflare está trabajando con los buscadores para eliminar cualquier posible fuga de información.
Dice parte del comunicado:
“Debido a la gravedad del error, un equipo multifuncional de ingenieros, infosec y operaciones formado en San Francisco y Londres está atendiendo las causas subyacentes en su totalidad, para comprender el efecto de la pérdida de memoria, al tiempo que trabaja con Google y otros motores de búsqueda para eliminar cualquier respuesta HTTP almacenada en el caché”.
El origen de la falla provino de un analizador HTML que Cloudflare utiliza y el cual no pudo actualizar correctamente el contenido del protocolo HTTP a HTTPS, es decir a su forma de navegación segura. Por lo tanto, esto significa que los datos estaban completamente expuestos. Cloudflare asegura haber aprendido la lección y confirma que sus ingenieros de software están realizando un análisis minucioso en búsqueda de posibles vulnerabilidades en sus sistema.
