Cloudbleed – Bug no Cloudflare deixa dados de utilizadores vulneráveis

O Cloudflare é um conhecido serviço de proteção e otimização de websites, sendo utilizado por milhares de websites a nível mundial. Esta lista inclui entidades como a Uber, Medium, 4chan, Patreon, entre muitos outros.

Recentemente foi descoberto um bug no sistema do Cloudflare que pode ter permitido o acesso a dados privados em qualquer website associado com a plataforma. O bug foi detetado pelo investigador Tavis Ormandy, do Google Project Zero, e estaria a afetar o serviço desde Setembro do ano passado.

Apesar de não existirem indícios que os dados tenham sido explorados por utilizadores maliciosos, o investigador da Google afirma que a falha foi grave o suficiente para permitir a partilha pública de vários dados, como passwords, nomes de utilizador e emails, em vários serviços a nível mundial.

Alguns destes dados estão atualmente armazenados nos sistemas de pesquisa dos principais motores de pesquisa, como o Google, e podem permitir o acesso a informação privada. Apesar disso, os principais motores de pesquisa já foram notificados para eliminarem qualquer registo guardado destes dados, e a grande maioria já foi removido.

Depois de ter sido alertada, a Cloudflare demorou seis dias para resolver o problema, sendo que neste período os motores de pesquisa também foram notificados para removerem os resultados das pesquisas. Apenas durante o dia de ontem a falha foi tornada pública pela empresa.

Apesar de a empresa revelar que apenas 0.00003% dos pedidos HTML terão sido comprometidos, é importante relembrar que este valor ainda é bastante elevado para o número de requisições que o Cloudflare recebe todos os dias. Por este motivo, e de forma a garantir a segurança, é recomendado proceder com a modificação da password em qualquer website que possa ter sido afetado pela falha. Uma lista de alguns dos websites conhecidos por terem sido afetados pode ser encontrada neste link.