„Cloudbleed“: Internet-Gigant verteilte geheime Inhalte öffentlich im Netz

Stefan Bubeck

Chat-Nachrichten von Dating-Portalen, Buchungsinformationen von Hotels, Login-Daten von Passwortmanagern und vieles mehr: Der Internet-Dienstleister Cloudflare hat aufgrund eines Softwarefehlers monatelang sensible Daten im Netz verstreut, die sogar von Suchmaschinen erfasst wurden.

„Cloudbleed“: Internet-Gigant verteilte geheime Inhalte öffentlich im Netz
Bildquelle: Cloudflare.

Du weißt, dass du ein Problem hast, wenn Googles Sicherheitsexperte Tavis Ormandy auf Twitter postet: „Könnte mich jemand von Cloudflare kontaktieren – es ist dringend.“ Was Ormandy entdeckt hat, betrifft nicht nur den genannten Dienstleister Cloudflare, sondern die Kunden, deren Webseiten und Dienste von Millionen Menschen genutzt werden. Eine winzige Auswahl der Kundenliste: Uber, 1Password, Medium, FitBit und OKCupid – namhafte Webseiten könnten theoretisch betroffen sein.

Bilderstrecke starten
16 Bilder
Datenschutz-Thementag bei GIGA: Das sind die Tipps der Redaktion.

Cloudflare-Fehler: Über 5 Millionen Webseiten betroffen

Seit dem 22. September verteilten offenbar die Cloudflare-Server sensible Informationen aus ihrem Speicherinhalt im Netz, die während dieser Zeit auch von Systemen wie Suchmaschinen-Crawlern indiziert wurden. Anders formuliert: Passwörter im Klartext ließen sich per Suchmaschine finden.

Leicht abgemildert wird diese Katastrophe durch den Umstand, dass die geleakten Speicherinhalte alle möglichen Daten verschiedener Webseiten enthalten könnten: Manchmal sind sensible Informationen enthalten, manchmal nicht. Schuld ist ein Fehler im von Cloudflare verwendeten HTML-Parser, der in bestimmten Fällen über das Ende eines Speicherbereichs hinweg gelesen hat – diese „zufälligen“ Daten wurden dann mit den HTTP-Antworten des Servers verschickt. Darunter Cookies, Logins und Software-Keys.

Mittlerweile ist der eigentliche Bug von Cloudflare behoben worden – die geleakten Daten sind aber irgendwo im Netz, unter anderem bei Webseitenarchiven, in den Caches von Suchmaschinen, aber auch auf privaten Festplatten im Browsercache. Die großen Suchmaschinenanbieter sind informiert und räumen bereits ihre Zwischenspeicher auf.

Cloudflare ist ein Internet-Riese, von dem die meisten Internet-Nutzer nie gehört haben und sehr wahrscheinlich auch nie etwas mitbekommen. Der Dienstleister steht für ein Content-Delivery-Network (CDN) und betreibt 102 Rechenzentren in mehr als 49 Ländern. Cloudflare bietet Webseitenbetreibern unter anderem DDoS-Schutz und Sicherheitsdienstleistungen. Experten sprechen beim jetzt bekannt gewordenen Datenleck bereits von „Cloudbleed“ – in Anlehnung an die „Heartbleed“-Katastrophe, einer OpenSSL- Sicherheitslücke, bei der damals rund zwei Drittel der Webseiten im Internet betroffen waren.

Anmerkung: Das Titelbild dieses Artikels zeigt eine Weltkarte mit den Standorten der Cloudflare-Rechenzentren.

Quellen: Heise, Fortune, Cloudflare Blog

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung