Cloudbleed: breșă de securitate uriașă, dar fără dovezi de exploatare

Un cercetător în securitate a raportat un bug al Cloudflare care consta în breșe care permiteau extragerea datelor de autentificare ale utilizatorilor.

Cloudbleed este numele unei breșe de seucritate uriașe a companiei Cloudflare care a lăsat să se scurgă parole ale utilizatorilor și alte informații potențial sensibile a mii de site-uri web în ultimele șase luni, scrie cnet.com.

Tavis Ormandy cercetătorul în securitate al Project Zero de la Google este cel care a denumit și raportat problema către Cloudflare. Cloudflare a rezolvat bug-ul în 44 de minute după ce a aflat despre existența lui și a rezolvat complet problema după șapte ore.

Cloudflare oferă infrastructură și securitate esențiale pentru milioane de site-uri web. Printre acestea se numără Nadaq, Bain Capital, OKCupid, Uber, ZenDesk și Cisco.

Investigația Cloudflare a descoperit că bug-ul a fost declanșat de peste un milion de ori în ultimele șase luni înainte de a fi înlăturat, scrie zdnet.com.

Dar deși compania a spus că vulnerabilitatea putea fi mult mai rea, inginerii nu au descoperit dovezi că aceasta ar fi fost exploatată. 

După ce a aflat despre vulnerabilitate și a rezolvat problema, compania a spus că aceasta permitea extragerea de informații care nu erau criptate.  
Se precizează că peste 1.2 milioane de cereri erau în pericol de a fi extrase începând cu sfârșitul lunii septembrie și încheind cu 13 februarie când s-a rezolvat problema, confrom directoruli executiv al companiei. el a mai precizat că nu s-au găsit date despre carduri de credit sau adrese bitcoin în informațiile scurse, nici dosare medicale sau numere de securitate socială.