Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

In Pocket speichern vorlesen Druckansicht 189 Kommentare lesen
Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

(Bild: Ryan Lackey)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Eine Sicherheitslücke in der Infrastruktur des Content Delivery Networks Cloudflare hat dazu geführt, dass über Monate geheime Inhalte von Millionen Webseiten öffentlich gemacht wurden. Durch die Lücke bekamen Nutzer von bei Cloudflare gehosteten Seiten mit dem Inhalt dieser Webseiten auch sensiblen Speicherinhalt anderer Webseiten ausgeliefert. Die Situation erinnert an den OpenSSL-Bug Heartbleed, obwohl in diesem Fall nur Seiten betroffen waren, die Dienste von Cloudflare nutzen. In sozialen Netzwerken hat die Lücke deshalb den Spitznamen "Cloudbleed" erhalten.

Cloudflare bietet DDoS-Schutz und weitere Sicherheits-Dienstleistungen für Webseiten-Betreiber an. Die Lücke ist durch Programmierfehler in Teilen der Infrastruktur des Dienstes entstanden, die Webseiten auf dem Weg zwischen Hoster und dem öffentlichen Internet bearbeiten – etwa um HTTP-Links in HTTPS-Links umzuschreiben und E-Mail-Adressen, die im Klartext enthalten sind, zu entfernen.

Zu den Webseiten, die Cloudflare nutzen und potenziell betroffen waren, gehören Uber, 1Password, FitBit und OKCupid. In einer Stellungnahme sagte 1Password, dass die eigenen Nutzer nicht betroffen waren, da deren Daten entsprechend verschlüsselt waren und man nicht allein auf TLS vertraut habe.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Entdeckt hat die Sicherheitslücke Googles gefürchteter Sicherheitsexperte Tavis Ormandy. Als er die Dringlichkeit des Problems erkannte, macht er sogleich auf Twitter auf sich aufmerksam und versuchte, mit den Verantwortlichen bei Cloudflare in Kontakt zu treten. Das hatte Erfolg und die Firma schloss die Lücke umgehend. Allerdings erst nachdem Ormandy einige Zeit damit verbrachte, den Technikern das komplexe Problem zu erklären.

Die Cloudflare-Server scheinen seit dem 22. September Speicherinhalte im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein. In einer Stellungnahme zu der Sicherheitslücke erklärt Cloudflare-Technikchef John Graham-Cumming, dass es keine Hinweise darauf gäbe, dass vor Ormandy jemand anderes die Lücke entdeckt habe.

Von Ormandy per Cloudbleed ausgelesene Daten eines Profils der Datingseite OkCupid.

(Bild: Tavis Ormandy)

Andererseits wurden die von den Cloudflare-Edge-Servern ausgelieferten Daten mit Sicherheit von anderen Systemen zwischengespeichert und indiziert – etwa von den Such-Crawlern der Suchmaschinen. Wo im Netz auch jetzt noch sensible Inhalte aus dem Datenleck existieren, ist schwer abzusehen. Abgeschwächt wird das Risiko etwas dadurch, dass die Speicherinhalte zufällig verteilt wurden.

Es gab laut Ormandy keine Möglichkeit, gezielt Daten auszulesen oder eine bestimmte Webseite anzugreifen. Trotzdem hätte ein Angreifer mit Wissen von der Lücke (etwa ein staatlicher Geheimdienst) einfach mit Gewalt immer weiter geheime Daten auslesen können. (fab)