Un fallo de seguridad expone los datos de usuario de más de 3.400 sitios web

Una vez más, los datos de los usuarios de al menos 3.400 sitios web entre los que se encuentran Fitbit, Une y hasta 1Password, han sido expuestos, en esta ocasión, debido a un fallo de seguridad de Cloudflare, por lo que se recomienda el cambio inmediato de las contraseñas de acceso.

Los datos de usuarios de más de 3.400 sitios web han sido filtrados y almacenados en la caché por los motores de búsqueda como resultado de un error de seguridad en Cloudflare, una red de distribución de contenido que es utilizada por miles de sitios web. Durante meses, sitios web como Uber, Fitbit o el sitio de citas OKCupid entre miles, se han visto afectados. 1Password también utiliza Cloudflare, sin embargo la compañía afirma que gracias a su cifrado de extremo a extremo los datos de sus clientes no se han visto expuestos.

Un fallo de seguridad que expone los datos de cientos de miles de usuarios

La seguridad y la privacidad de nuestros datos personales es algo que cada día nos preocupa a más personas y con mayor intensidad. Cada vez son más los datos personales que almacenamos en “la nube” y a los que cualquiera podría tener acceso, en la mayoría de ocasiones, con tan sólo conocer nuestro usuario y contraseña. De ahí que la información publicada hoy resulte de especial gravedad, tanto a nivel cualitativo como por el volumen de usuarios a los que podría afectar.

Según ha publicado ArsTechnica, el investigador de seguridad de Google Tavis Ormandy descubrió que un fallo de seguridad en Cloudflare, la red de distribución de contenido que es utilizada por millones de sitios web, ha permitido que los datos de los usuarios de más de 3.400 sitios web hayan sido filtrados y almacenados en la cache de los motores de búsqueda.

El servicio utilizado por 5,5 millones de sitios web puede haber filtrado contraseñas y tokens de autenticación.

Una muestra de los datos que Ormandy vio. Se trata de un mensaje privado del sitio de citas okcupid | IMAGEN: ArsTechnica

Entre esos sitios web afectados se encuentran firma tan populares como Fitbit o Uber, así como 1Password que, sin embargo, ya ha manifestado que los datos de sus usuarios permanecen a buen recaudo gracias al cifrado de extremo a extremo.

Hemos observado claves de cifrado, cookies, contraseñas, trozos de datos POST e incluso peticiones de HTTPS para otros sitios principales alojados en cloudflare de otros usuarios. Una vez que comprendimos lo que estábamos viendo y las implicaciones, inmediatamente nos detuvimos y contactamos con la seguridad cloudflare.

Cloudflare admite el fallo, pero podría estar subestimando su gravedad

Cloudflare ya ha admitido que el fallo de seguridad efectivamente se ha producido, pero tanto Tavis Ormandy como otros investigadores de seguridad consideran que la compañía está subestimando la gravedad del incidente. En un post publicado en el blog de la compañía bajo el título “Incident report on memory leak caused by Cloudflare parser bug”, Cloudflare reconoce que la brecha fue seria, pero también señala que no existe evidencia alguna de que el fallo haya sido explotado.

El error era grave porque la memoria filtrada podría contener información privada y porque habría sido almacenada en la caché por los motores de búsqueda. Tampoco hemos descubierto ninguna evidencia de explotaciones maliciosas del bug o de otros informes de su existencia.

Ormandy no ha tardado en ofrecer una respuesta a las declaraciones de la compañía afirmando que el post publicado por Cloudflare ofrece un excelente análisis “postmortem” pero al mismo tiempo “reduce gravemente el riesgo para los clientes”.

Se recomienda cambiar las contraseñas

Ryan Lackey, otro prestigioso investigador de seguridad, está de acuerdo con las declaraciones de Ormandy, y afirma que, si bien la probabilidad de que las contraseñas sean expuestas es baja, ese riesgo existe, por lo que se recomienda a los usuarios cambiarlas.

Google, Bing, Yahoo y otros motores de búsqueda ya han estado borrando los datos almacenados en caché, de ahí que los hechos se hayan hecho públicos ahora, pero ArsTechnica señala que algunos datos en caché aún permanecen.

Los mejores accesorios para tu iPhone
¿Buscas una funda nueva para tu iPhone? ¿Un accesorio para el Apple Watch? ¿Quizás un altavoz Bluetooth? No te pierdas estas ofertas en accesorios y saca el máximo partido al móvil de Apple:
Fundas iPhoneAltavoces BluetoothAccesorios Apple Watch

Categorías

Noticias

Jose Alfocea

Siempre con ganas de aprender, me encanta todo lo relacionado con la Historia, el Arte o el Periodismo y especialmente, las nuevas tecnologías y su... Ver perfil ›

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *