Datenleaks durch Cloudflare-Fehler: 1Password gibt Entwarnung
Der auf Mac und iOS-Geräten beliebte Passwortmanager war von der Cloudbleed genannten Lücke zwar betroffen, Daten seien aber zusätzlich verschlüsselt gewesen.
1Password-Apps für iPad und iPhone.
(Bild: Hersteller)
Agile Bits, Anbieter des Passwortmanagers 1Password, der unter macOS und iOS zu den beliebtesten Werkzeugen seiner Art zählt, war von der sogenannten Cloudbleed-Lücke betroffen. Dennoch sollen keine Passwörter in falsche Hände geraten sein, hieß es am Donnerstagabend.
Cloudflare speichert Daten für Agile Bits zwischen
Eine Sicherheitslücke in der Infrastruktur des bedeutenden Content Delivery Networks Cloudflare hatte dazu geführt, dass über knapp fünf Monate geheime Inhalte von Millionen Webseiten öffentlich gemacht wurden. Durch die Lücke bekamen Nutzer von bei Cloudflare gehosteten Seiten mit dem Inhalt dieser Webseiten auch sensiblen Speicherinhalt anderer Webseiten ausgeliefert. Das Problem erinnert an den OpenSSL-Bug Heartbleed – obwohl in diesem Fall nur Seiten betroffen waren, die Dienste von Cloudflare nutzen, darunter eben auch das Angebot von 1Password, das seit letztem Jahr auch als Cloud-Dienst offeriert wird.
In einer Stellungnahme sagte Agile Bits, dass die eigenen Nutzer nicht betroffen seien, da deren Daten entsprechend verschlüsselt waren und man nicht allein auf das Webserver-Sicherheitsprotokoll TLS vertraut habe. Neben SSL/TLS setze man eine eigene authentifizierte Transport-Layer-Verschlüsselung ein – neben der eigentlichen Verschlüsselung der Passwortdaten mit Schlüsseln, die aus Masterpasswort und Account-Code gebildet werden.
Cloudflare bietet DDoS-Schutz und weitere Sicherheits-Dienstleistungen für zahlreiche Webseiten-Betreiber an. Die Lücke ist durch Programmierfehler in Teilen der Infrastruktur des Dienstes entstanden, die Webseiten auf dem Weg zwischen Hoster und dem öffentlichen Internet bearbeiten – etwa um HTTP-Links in HTTPS-Links umzuschreiben und E-Mail-Adressen, die im Klartext enthalten sind, zu entfernen. Zu den Webseiten, die Cloudflare nutzen und potenziell betroffen waren, gehören neben 1Password auch der Fahrdienst Uber, der Fitnesstrackeranbieter FitBit und die Partnerbörse OKCupid. Entdeckt hat die Sicherheitslücke Google-Sicherheitsexperte Tavis Ormandy.
Lücke klaffte fast ein halbes Jahr
Die Cloudflare-Server scheinen seit dem 22. September Speicherinhalte im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein. In einer Stellungnahme zu der Sicherheitslücke erklärt Cloudflare-Technikchef John Graham-Cumming, dass es keine Hinweise darauf gäbe, dass vor Ormandy jemand anderes die Lücke entdeckt habe.
Andererseits wurden die von den Cloudflare-Edge-Servern ausgelieferten Daten mit Sicherheit von anderen Systemen zwischengespeichert und indiziert – etwa von den Such-Crawlern der Suchmaschinen. Wo im Netz auch jetzt noch sensible Inhalte aus dem Datenleck existieren, ist schwer abzusehen. Abgeschwächt wird das Risiko etwas dadurch, dass die Speicherinhalte zufällig verteilt wurden. (mit Material von heise security) / (bsc)
