Una vez más, los datos de los usuarios de al menos 3.400 sitios web entre los que se encuentran Fitbit, Une y hasta 1Password, han sido expuestos, en esta ocasión, debido a un fallo de seguridad de Cloudflare, por lo que se recomienda el cambio inmediato de las contraseñas de acceso.
Los datos de usuarios de más de 3.400 sitios web han sido filtrados y almacenados en la caché por los motores de búsqueda como resultado de un error de seguridad en Cloudflare, una red de distribución de contenido que es utilizada por miles de sitios web. Durante meses, sitios web como Uber, Fitbit o el sitio de citas OKCupid entre miles, se han visto afectados. 1Password también utiliza Cloudflare, sin embargo la compañía afirma que gracias a su cifrado de extremo a extremo los datos de sus clientes no se han visto expuestos.
Un fallo de seguridad que expone los datos de cientos de miles de usuarios
La seguridad y la privacidad de nuestros datos personales es algo que cada día nos preocupa a más personas y con mayor intensidad. Cada vez son más los datos personales que almacenamos en «la nube» y a los que cualquiera podría tener acceso, en la mayoría de ocasiones, con tan sólo conocer nuestro usuario y contraseña. De ahí que la información publicada hoy resulte de especial gravedad, tanto a nivel cualitativo como por el volumen de usuarios a los que podría afectar.
Según ha publicado ArsTechnica, el investigador de seguridad de Google Tavis Ormandy descubrió que un fallo de seguridad en Cloudflare, la red de distribución de contenido que es utilizada por millones de sitios web, ha permitido que los datos de los usuarios de más de 3.400 sitios web hayan sido filtrados y almacenados en la cache de los motores de búsqueda.
El servicio utilizado por 5,5 millones de sitios web puede haber filtrado contraseñas y tokens de autenticación.
Una muestra de los datos que Ormandy vio. Se trata de un mensaje privado del sitio de citas okcupid | IMAGEN: ArsTechnica
Entre esos sitios web afectados se encuentran firma tan populares como Fitbit o Uber, así como 1Password que, sin embargo, ya ha manifestado que los datos de sus usuarios permanecen a buen recaudo gracias al cifrado de extremo a extremo.
Hemos observado claves de cifrado, cookies, contraseñas, trozos de datos POST e incluso peticiones de HTTPS para otros sitios principales alojados en cloudflare de otros usuarios. Una vez que comprendimos lo que estábamos viendo y las implicaciones, inmediatamente nos detuvimos y contactamos con la seguridad cloudflare.
Cloudflare admite el fallo, pero podría estar subestimando su gravedad
Cloudflare ya ha admitido que el fallo de seguridad efectivamente se ha producido, pero tanto Tavis Ormandy como otros investigadores de seguridad consideran que la compañía está subestimando la gravedad del incidente. En un post publicado en el blog de la compañía bajo el título «Incident report on memory leak caused by Cloudflare parser bug», Cloudflare reconoce que la brecha fue seria, pero también señala que no existe evidencia alguna de que el fallo haya sido explotado.
El error era grave porque la memoria filtrada podría contener información privada y porque habría sido almacenada en la caché por los motores de búsqueda. Tampoco hemos descubierto ninguna evidencia de explotaciones maliciosas del bug o de otros informes de su existencia.
Ormandy no ha tardado en ofrecer una respuesta a las declaraciones de la compañía afirmando que el post publicado por Cloudflare ofrece un excelente análisis «postmortem» pero al mismo tiempo «reduce gravemente el riesgo para los clientes».
Se recomienda cambiar las contraseñas
Ryan Lackey, otro prestigioso investigador de seguridad, está de acuerdo con las declaraciones de Ormandy, y afirma que, si bien la probabilidad de que las contraseñas sean expuestas es baja, ese riesgo existe, por lo que se recomienda a los usuarios cambiarlas.
Google, Bing, Yahoo y otros motores de búsqueda ya han estado borrando los datos almacenados en caché, de ahí que los hechos se hayan hecho públicos ahora, pero ArsTechnica señala que algunos datos en caché aún permanecen.