Cloudbleed: Millionen Websites verbreiteten sensible Daten

Es ist eine Situation, die fast so schlimm ist wie der OpenSSL-Bug Heartbleed: Die neue Sicherheitslücke in der Infrastruktur des Sicherheitsdienstleisters Cloudflare, die deshalb bereits auch vielerorts, vor allem via Social Media, als #Cloudbleed bezeichnet wird. Cloudflare bietet Sicherheits-Dienstleistungen für Webseiten-Betreiber an. Doch im Programmcode befand sich selbst ein Fehler, der Websites zum offenen Buch machte.

Was war genau passiert? Eine Sicherheitslücke in der Infrastruktur des Content Delivery Networks von Cloudflare hat dafür gesorgt, dass Millionen Websites sensible Nutzerdaten verbreitet haben, ohne es zu merken oder zu wissen.

Fünf Millionen Websites

Zu den Webseiten, die Cloudflare nutzen, gehören unter anderem: Uber, 1Password, FitBit, OKCupid, 4Chan, Product Hunt, Mixcloud, Medium,... – all diese Websites zählen daher potentiell zu den Betroffenen. Insgesamt waren mehr als fünf Millionen Websites potentiell betroffen, eine Liste davon (ohne Gewähr) findet sich unter anderem hier. Der Passwort-Safe 1Password hat in einer Stellungnahme erklärt, dass die Userdaten und Passwörter der Nutzer niemals gefährdet gewesen seien.

Die Lücke, die vom Google-Sicherheitsforscher Tavis Ormandy entdeckt worden war, ist durch Programmierfehler in Teilen der Infrastruktur des Dienstes entstanden. Konkret soll ein Fehler im Code des Cloudflare- Netzwerks dafür gesorgt haben, dass bei jeder rund dreimillionsten Anfrage ungewollt Daten freigesetzt wurden. Cloudflare wickelt pro Tag aber mehrere Millionen Anfragen pro Tag ab.

Rasche Behebung

Der Fehler dürfte etwa dann aufgetreten sein, wenn Webseiten auf dem Weg zwischen Hoster und dem öffentlichen Internet bearbeitet worden waren, etwa um HTTP-Links in HTTPS-Links umzuschreiben und E-Mail-Adressen, die im Klartext enthalten sind, zu entfernen. Cloudflare hat nach der Kontakt-Aufnahme durch Ormandy innerhalb von sechs Stunden einen ersten Fix für das Problem parat gehabt, wie es seitens Cloudflare heißt. Sechs Tage später war die Sicherheitslücke vollständig beseitigt.

Konkret bestand die Sicherheitslücke seit September, aber erst durch ein Update konnten eine große Menge persönlicher Daten freigesetzt werden. Dem Google- Forscher zufolge seien durch das Datenleck Hotelbuchungen, Passwörter, Nachrichten von Flirts und anderen Chat-Diensten, Cookies und andere persönliche Daten ins Netz gelangt. Manche der veröffentlichten Daten wurden auch von Suchmaschinen erfasst und zwischengespeichert.

Passwörter ändern

Die Wahrscheinlichkeit, dass bestimmte Daten einzelner Nutzer auf diese Weise verbreitet wurden, wird generell als eher gering eingeschätzt. Dennoch wird Usern, die in der Liste den ein oder anderen Dienst ihres Vertrauens wiedererkennen, empfohlen, zur Sicherheit überall ein neues Passwort setzen. Generell wird außerdem empfohlen, nicht auf ein einziges Passwort im Netz zu setzen. Wer sich die vielen Passwörter nicht merken kann, sollte auf einen Passwort-Manager seiner Wahl setzen (hier ein paar Tipps zur Auswahl).

Der ehemalige Cloudflare-Mitarbeiter Ryan Lackey legt vor allem den Betreibern von potentiell betroffenen Websites nahe, ihre Kunden zum Wechsel der Passwörter aufzufordern. "Es ist möglich, dass jemand anderes den Fehler lange vor Travis entdeckt und aktiv ausgenutzt hat", so seine Warnung in einem Blogeintrag bei Medium. Auch Medium zählt zu den potentiell betroffenen Websites.