Planet of Tech

Cloudbleed: Bug bei Cloudflare macht fünf Millionen Websites zum Datenleck

24 Feb, 2017 von
Schriftgröße -16+

Eine gewaltige Sicherheitslücke bei dem CDN Anbieter Cloudflare hat monatelang für ein Datenleck bei mehreren Millionen Websites gesorgt. Der Anbieter hat fremde Inhalte bei dem Website-Aufruf mitgeschickt, weshalb Nutzer recht leicht an Passwörter und IP-Adressen anderer Internetnutzer kommen konnten. Allerdings sei die Sicherheitslücke vermutlich nicht ausgenutzt worden. Betroffen sind jedoch auch bekannte Dienste wie 1Password.

Bei Cloudflare handelt es sich um den größten Content Delivery Network Anbieter, welcher Website Anbietern ermöglicht, Inhalte von dessen Cloudflare-Server zu laden. Damit können Websites ihre Lasten verteilen und ihre Internetseiten beschleunigen. Derzeit nutzen fünf Millionen Websites den CDN Anbieter. Wie nun der Sicherheitsexperte Tavis Ormandy, tätig bei Google, herausgefunden hat, klaffte bei Cloudflare monatelang eine gigantische Sicherheitslücke. Die auf den Namen Cloudbleed getaufte Schwachstelle hat bei einem Speicherüberlauf Daten öffentlich gecached und sogar bei einem Websiteaufruf an falsche Internetseiten geschickt.

 

Cloudflare Cloudflare Cloudbleed: Bug bei Cloudflare macht fünf Millionen Websites zum Datenleck cf logo v rgb 660x220

 

 

Im schlimmsten Fall sind Nutzereingaben, welche über Websites mit Cloudflare getätigt wurden, nicht nur beim eigentlichen Websitebetreiber gelandet, sondern wurden öffentlich gespeichert oder an andere Internetnutzer ausgeliefert. Deshalb haben Suchmaschinen teilweise sogar öffentliche E-Mail Adressen, IP-Adressen und sogar unverschlüsselte Passwörter indexiert, welche der Nutzer freiwillig eingegeben hat. Auch gesamte Konversationen können von Cloudbleed betroffen sein. Allerdings kann sich der Nutzer davor auch nicht schützen.

Bereits seit dem 22. September soll Cloudbleed existieren. Über fünf Millionen Websites nutzen Cloudflare, darunter FitBit, Uber oder der Passwortmanager 1Password. Bei 1Password ist Cloudbleed vor allem dann riskant, wenn die Nutzer die neue recht neue Onlineverwaltung ihrer Passwörter verwendet haben. Der Anbieter hat allerdings bereits mitgeteilt, dass Kundendaten beziehungsweise Passwörter aufgrund der individuellen Verschlüsselung nicht in Gefahr gewesen seien.

 

Wie Cloudflare selbst mitteilte, habe Cloudbleed innerhalb der fünf Monaten erst im Februar seine aktivste Zeit erreicht. Zwischen dem 13. und 18. Februar gingen so viele HTTP- beziehungsweise HTTPS-Anfragen ein, wie sonst nicht in dem Zeitraum. Deshalb seien Nutzer vor allem in diesen sechs Tagen besonders betroffen gewesen. Nachdem der Sicherheitsexperte das Sicherheitsrisiko gemeldet hatte, konnte der Bug innerhalb weniger Stunden geschlossen werden.

Der CDN-Anbieter geht übrigens davon aus, dass vor dem Sicherheitsexperten niemand etwas von Cloudbleed gemerkt habe. Das heißt im Umkehrschluss, dass niemand die Schwachstelle ausgenutzt hat. Ohnehin wurden die Daten nur versteckt mitgeschickt, weshalb Hacker hätten aktiv nach diesen Suchen müssen. Nichts desto trotz sind noch immer zahlreiche Daten von den Suchmaschinen indexiert. Da diese jedoch auf rund Millionen Websites verteilt sind, lassen sich diese nur schwer entfernen. Allerdings können diese Daten aus dem selben Grund auch nur schwer rekonstruiert und weiterverwendet werden.

Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!

Moritz Krauß

Moritz Krauß

Founder & Editor in Chief

Alle Artikel von Moritz Krauß
Schlagworte:
1PasswordAgileBitsCloudflareDatenschutzInternetsicherSicherheitSicherheitslückeSicherheitssystem

Ähnliche Artikel

Technik 8 Jahren ago 1Password für Mac wird intelligenter

1Password für Mac wird intelligenter

Jeder kennt ihn, viele nutzen ihn: die Rede ist von 1Password. Der Passwortmanager ist seit heute Nacht noch intelligenter. Ein

News 8 Jahren ago AgileBits erhöht Preis von 1Password – Mac und Windows betroffen

AgileBits erhöht Preis von 1Password – Mac und Windows betroffen

Passwortmanager sind heutzutage weit verbreitet. Einer der bekanntesten ist 1Password, welcher auch schon einige Preise abstauben konnte. Doch heute sorgt

Software 8 Jahren ago Agilebits führt Familien-Abonnement für 1Password ein

Agilebits führt Familien-Abonnement für 1Password ein

Der bekannte Passwortmanager 1Password musste bislang für jedes Betriebssystem einzeln gekauft werden. Eine Ausnahme machten Android und iOS. Für diese beiden

Keine Kommentare

Hinterlasse einen Kommentar
Noch keine Kommentare vorhanden Sei der Erste und hinterlasse einen Kommentar!

Hinterlasse einen Kommentar

Your e-mail address will not be published.
Required fields are marked*


Kommentare erscheinen erst nach der Freischaltung.

Unsere Mission

 

Der TechnikSurfer bietet dir die spannendsten Beiträge rund um Technik, Telekommunikation und mobilen Zeitgeist. Wir berichten über das, was berichtenswert ist - kompetent, objektiv, gründlich. Mit uns bist du immer bestens informiert. Hier erfährst du mehr über uns.
 

Transparenz ist alles

 

In unseren Testberichten möchten wir dir einen Eindruck davon geben, ob sich der Kauf von top-aktuellen Technikhighlights lohnt oder ob du doch lieber die Finger davon lassen solltest. Dabei spielt Transparenz und Ehrlichkeit eine zentrale Rolle bei uns. Wir sagen dir unsere tatsächliche Meinung und sind dabei unbestechlich. Hier erfährst du mehr dazu.

TechnikSurfer im Hintergrund

 
Startseite
Jobs
Unterstütze uns
Unsere Partner
Kontakt
Datenschutz
Impressum

© Copyright 2019, TechnikSurfer®
  Close Window

Loading, Please Wait!

This may take a second or two. Loading