Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

Eine Sicherheitslücke in der Infrastruktur des Content Delivery Networks Cloudflare hat dazu geführt, dass über Monate geheime Inhalte von Millionen Webseiten öffentlich gemacht wurden. Durch die Lücke bekamen Nutzer von bei Cloudflare gehosteten Seiten mit dem Inhalt dieser Webseiten auch sensiblen Speicherinhalt anderer Webseiten ausgeliefert. Die Situation erinnert an den OpenSSL-Bug Heartbleed, obwohl in diesem Fall nur Seiten betroffen waren, die Dienste von Cloudflare nutzen. In sozialen Netzwerken hat die Lücke deshalb den Spitznamen „Cloudbleed“ erhalten.

Google: „Cloudbleed“

Cloudflare bietet DDoS-Schutz und weitere Sicherheits-Dienstleistungen für Webseiten-Betreiber an. Die Lücke ist durch Programmierfehler in Teilen der Infrastruktur des Dienstes entstanden, die Webseiten auf dem Weg zwischen Hoster und dem öffentlichen Internet bearbeiten – etwa um HTTP-Links in HTTPS-Links umzuschreiben und E-Mail-Adressen, die im Klartext enthalten sind, zu entfernen.

Viele beliebte Webdienste nutzen Cloudflare

Zu den Webseiten, die Cloudflare nutzen und potenziell betroffen waren, gehören Uber, 1Password, FitBit und OKCupid. In einer Stellungnahme sagte 1Password, dass die eigenen Nutzer nicht betroffen waren, da deren Daten entsprechend verschlüsselt waren und man nicht allein auf TLS vertraut habe.

Entdeckt hat die Sicherheitslücke Googles gefürchteter Sicherheitsexperte Tavis Ormandy. Als er die Dringlichkeit des Problems erkannte, macht er sogleich auf Twitter auf sich aufmerksam und versuchte, mit den Verantwortlichen bei Cloudflare in Kontakt zu treten. Das hatte Erfolg und die Firma schloss die Lücke umgehend. Allerdings erst nachdem Ormandy einige Zeit damit verbrachte, den Technikern das komplexe Problem zu erklären.

Lücke klaffte fast ein halbes Jahr

Die Cloudflare-Server scheinen seit dem 22. September Speicherinhalte im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein. In einer Stellungnahme zu der Sicherheitslücke erklärt Cloudflare-Technikchef John Graham-Cumming, dass es keine Hinweise darauf gäbe, dass vor Ormandy jemand anderes die Lücke entdeckt habe.

Andererseits wurden die von den Cloudflare-Edge-Servern ausgelieferten Daten mit Sicherheit von anderen Systemen zwischengespeichert und indiziert – etwa von den Such-Crawlern der Suchmaschinen. Wo im Netz auch jetzt noch sensible Inhalte aus dem Datenleck existieren, ist schwer abzusehen. Abgeschwächt wird das Risiko etwas dadurch, dass die Speicherinhalte zufällig verteilt wurden.

Es gab laut Ormandy keine Möglichkeit, gezielt Daten auszulesen oder eine bestimmte Webseite anzugreifen. Trotzdem hätte ein Angreifer mit Wissen von der Lücke (etwa ein staatlicher Geheimdienst) einfach mit Gewalt immer weiter geheime Daten auslesen können.

Quelle: Heise

Da viele bekannte Webseiten von dem Fehler betroffen sind, sollten Sie zudem überprüfen, ob Sie auch bei weiteren Diensten Ihre Benutzernamen und/oder Passwörter ändern müssen. Unter dem nachfolgenden Link finden Sie eine (sehr lange) Liste der von „cloudbleed“ betroffenen Webseiten: sites-using-cloudflare.

Wichtig! Bitte benutzen Sie NIEMALS das gleiche Passwort für mehrere Webseiten oder Dienste. Passwort-Tools wie 1Password, LastPassword und andere „Passwort-Tresore“ bieten zwar auch keinen 100%igen Schutz, aber immer das gleiche Passwort zu benutzen ist definitiv eine größere Gefahr.

Bei einer 2-Faktor-Authentifizierung über eine App (wie beispielsweise Google-Authenticator) ist die Wahrscheinlichkeit, dass der einmalig angezeigte Seed durch „cloudbleed“ veröffentlicht wurde, noch wesentlich geringer. Dennoch empfehlen wir als Vorsichtsmaßnahme auch die 2-Faktor-Authentifizierung bei Bitcoin.de zu deaktivieren und sofort wieder zu aktivieren. Nutzer eines Yubikeys und einer Passwort-Tabelle sind nicht betroffen und müssen nichts unternehmen.