Der WordPress-Sicherheitsplugin-Produzent Wordfence berichtet im Blog über Datenabflüsse bei Cloudflare. Cloudflare ist ein Content Delivery Netzwerk (CDN) und wird auch oft eingesetzt, um Webseiten zu cachen (zwischenzuspeichern). Sie werden in der Regel dann weltweit schneller ausgeliefert als wenn nur von einem Serverstandort aus Daten geliefert werden.
Während der vergangenen fünf Monate soll es zu einem Problem gekommen sein, bei dem Inhalte verschiedener Webseiten miteinander vermischt wurden.
Es handelte sich wohl um öffentliches Material, das ohnehin für jeden Webseitenbesucher zugänglich sein sollte, allerdings auch um vertrauliche Informationen bis hin zu Logindaten. SSL-Schlüssel seien aber nicht betroffen gewesen. Im Zeitraum vom 13. bis 18. Februar sollen Requests in der Zahlengrößenordnung von 3,3 Millionen Sicherheitsprobleme bereitet haben. In den Hackernews auf Ycombinator spricht der CTO von Cloudflare von 3.438 betroffenen Domainnamen gewesen.
Fatalerweise sind diese durcheinandergewürfelten Daten so auch von Suchmaschinen gecrawlt worden und erzeugen auf Suchergebnisseiten wirren Datensalat (hier ein Beispiel) . Außer auf Google-Serps wurden diese Fehler auch bei DuckDuckGo und Baidu gesehen. Teams der Suchmaschinenbetreiber müssen nun diese fehlerhaften Daten aufwendig bereinigen.
Seit 18.Februar soll das Sicherheitsloch gestopft sein. Ursache war nach Darstellung von Cloudflare ein Speicherfehler. Es handelte sich wohl um eine Panne, nicht um einen Angriff von außen.
Cloudflare wird bei goneo nicht verwendet und es ist unwahrscheinlich, dass ein Webseitenbetreiber, der bei goneo die Website hostet, von dem Cloudflare-Problem betroffen ist. Es ist aber denkbar, dass Websites, die zunächst einmal nichts mit Cloudflare zu tun haben auch betroffen sind. So heißt es in der Stellungsnahme bei Cloudflare:
„Because Cloudflare operates a large, shared infrastructure an HTTP request to a Cloudflare web site that was vulnerable to this problem could reveal information about an unrelated other Cloudflare site.“ (Cloudflare Blog mit der Meldung zum Thema)
Hintergrund ist, dass durch die Panne HTTP Headerdaten geleakt wurden, Bruchteile von POST-Daten, die auch Passwörter beinhalten können, Informationen aus JSON-Dateien für API-Aufrufe, URI Parameter, Cookies oder andere Authentifizierungsdaten wie API-Schlüssel oder OAuth-Token.
Auch wegen der Vielzahl an Cacheplugins für WordPress oder entsprechend anderer Erweiterungen für Content Management Systeme, die von Webmastern ganz individuell ausgewählt und eingesetzt werden und der höchst unterschiedlichen Arbeitsweise dieser Plugins, ist es aber nicht auszuschließen, dass Cloudflareserver nicht doch an einer Stelle involviert sind.
Entdeckt würde die Sicherheitslücke von Tavis Ormandy, Sicherheitsforscher beim Project Zero bei Google (hier die Dokumentation von Project Zero). Dieses Team, das kurz überlegt hatte, den Cloudflare-Bug „Cloudbleed“ zu nennen, hat die Aufgabe unentdeckte Sicherheitslücken zu finden.
Aktuell berichten eher amerikanische Tech-Medien und Blogs über den Bug. Inwieweit es sich um ein globales Problem mit allen Servern von Cloudflare handelt, die weltweit verteilt sind, ist noch unklar.