CloudBleed - a primeira cybercatástrofe de 2017
O que Tavis Ormandy descobriu foi que os servidores do CloudFlare estavam retornando dados aparentemente corrompidos para pedidos em HTTP. Os dados retornados continham cookies, conteúdo de HTTP posts, tokens de autenticação e muitos outros dados que deveriam ser sigilosos. E pior, parte desses dados tinham sido indexados e copiados por mecanismos de busca.
Por que "CloudBleed"?
O problema foi resultado de um buffer overflow causado por um bug no código do parser usado pelo CloudFlare. Basicamente, os servidores do CloudFlare estava preenchendo áreas fora do buffer (buffer overrun) com dados e os mesmos estavam sendo capturados por outros processos e enviados na forma de respostas para HTTP requests. No blog do CloudFlare há uma explicação detalhada do bug, vale a pena conferir
Para quem segue as notícias da área de segurança, o bug lembra bastante o HeartBleed, um bog encontrado no Heartbeat extension do TLS e DTLS. Da mesma forma, graças a um erro de programação, partes da memória estavam "sangrando" (bleeding) e sendo coletadas via requests específicos.
Sim, mas e daí?
Para quem lida com hospedagem de sites e afins, o CloudFlare é um velho conhecido, oferecendo serviços de proteção contra DDOS.
O problema é que o CloudFlare oferece serviços não só para pequenos sites e não apenas para proteção contra DDOS. Centenas de outras empresas incluindo Uber, OKCupid, 1Password, FitBit utilizam os serviços da empresa, que também incluem CDNs, DNS, etc. De acordo ao pesquisador, são milhares de domínios vazando informações desde setembro de 2016.
Não está claro ainda até que ponto hackers sabiam do bug e estavam coletando esses dados, mas o volume em potencial de dados vazados é bem claro: quase 6 meses de dados de serviços gigantescos como Uber, OKCupid e dezenas de outros.
Dados que não apenas vazaram, mas continham potencialmente informações sigilosas transmitidas via HTTPS. De acordo ao pesquisador, há IPs de usuários, mensagens privadas, cookies, frames de videos e muito mais.
O que fazer?
Se você usa qualquer um dos serviços acima, vá e mude suas senhas agora mesmo! Se você usa outros serviços de internet que não têm autenticação de 2 vias, é recomendável que você altere sua senha o mais rápido o possível, ou ao menos não adie a alteração semestral que você deveria estar fazendo de qualquer forma. Se você usa alguma forma de internet banking, especialmente se for internacional, o primeiro conselho é bastante relevante.