Menü
Security

Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

Von
vorlesen Drucken Kommentare lesen 189 Beiträge
Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

(Bild: Ryan Lackey )

Eine Sicherheitslücke in der Infrastruktur des Content Delivery Networks Cloudflare hat dazu geführt, dass über Monate geheime Inhalte von Millionen Webseiten öffentlich gemacht wurden. Durch die Lücke bekamen Nutzer von bei Cloudflare gehosteten Seiten mit dem Inhalt dieser Webseiten auch sensiblen Speicherinhalt anderer Webseiten ausgeliefert. Die Situation erinnert an den OpenSSL-Bug Heartbleed, obwohl in diesem Fall nur Seiten betroffen waren, die Dienste von Cloudflare nutzen. In sozialen Netzwerken hat die Lücke deshalb den Spitznamen "Cloudbleed" erhalten.

Cloudflare bietet DDoS-Schutz und weitere Sicherheits-Dienstleistungen für Webseiten-Betreiber an. Die Lücke ist durch Programmierfehler in Teilen der Infrastruktur des Dienstes entstanden, die Webseiten auf dem Weg zwischen Hoster und dem öffentlichen Internet bearbeiten – etwa um HTTP-Links in HTTPS-Links umzuschreiben und E-Mail-Adressen, die im Klartext enthalten sind, zu entfernen.

Viele beliebte Webdienste nutzen Cloudflare

Zu den Webseiten, die Cloudflare nutzen und potenziell betroffen waren, gehören Uber, 1Password, FitBit und OKCupid. In einer Stellungnahme sagte 1Password, dass die eigenen Nutzer nicht betroffen waren, da deren Daten entsprechend verschlüsselt waren und man nicht allein auf TLS vertraut habe.


Entdeckt hat die Sicherheitslücke Googles gefürchteter Sicherheitsexperte Tavis Ormandy. Als er die Dringlichkeit des Problems erkannte, macht er sogleich auf Twitter auf sich aufmerksam und versuchte, mit den Verantwortlichen bei Cloudflare in Kontakt zu treten. Das hatte Erfolg und die Firma schloss die Lücke umgehend. Allerdings erst nachdem Ormandy einige Zeit damit verbrachte, den Technikern das komplexe Problem zu erklären.

Lücke klaffte fast ein halbes Jahr

Die Cloudflare-Server scheinen seit dem 22. September Speicherinhalte im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein. In einer Stellungnahme zu der Sicherheitslücke erklärt Cloudflare-Technikchef John Graham-Cumming, dass es keine Hinweise darauf gäbe, dass vor Ormandy jemand anderes die Lücke entdeckt habe.

Von Ormandy per Cloudbleed ausgelesene Daten eines Profils der Datingseite OkCupid.

(Bild: Tavis Ormandy)

Andererseits wurden die von den Cloudflare-Edge-Servern ausgelieferten Daten mit Sicherheit von anderen Systemen zwischengespeichert und indiziert – etwa von den Such-Crawlern der Suchmaschinen. Wo im Netz auch jetzt noch sensible Inhalte aus dem Datenleck existieren, ist schwer abzusehen. Abgeschwächt wird das Risiko etwas dadurch, dass die Speicherinhalte zufällig verteilt wurden.

Es gab laut Ormandy keine Möglichkeit, gezielt Daten auszulesen oder eine bestimmte Webseite anzugreifen. Trotzdem hätte ein Angreifer mit Wissen von der Lücke (etwa ein staatlicher Geheimdienst) einfach mit Gewalt immer weiter geheime Daten auslesen können. (fab)