Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare
Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.
(Bild: Cloudflare)
- Fabian A. Scherschel
Nach Bekanntwerden der unter dem Namen "Cloudbleed" öffentlich gewordenen Sicherheitslücke beim Content Delivery Network Cloudflare hat dessen Sicherheitsabteilung die Auswirkungen der Lücke untersucht.
Obwohl die Clouflare-Mitarbeiter zugeben, das Ausmaß der Lücke sei "potenziell riesig" gewesen, habe man auch nach eingehender Untersuchung in der Praxis keinen Missbrauch feststellen können.
Keine sensiblen Daten
In den Logs der Firma fand sich auch nach mehrtägiger Suche kein Hinweis darauf, dass jemand die Lücke ausgenutzt hat oder dies auch nur versuchte, bevor sie gepatcht wurde. Nach der Analyse von Tausenden von Cloudflare-Seiten in den Caches von Suchmaschinen habe man zwar "eine große Zahl" von internen Cloudflare-Headern und den Cookies von Cloudflare-Kunden gefunden, aber keine Passwörter, Kreditkartennummern oder Gesundheitsdaten.
(Bild:Â Cloudflare)
Eine groĂźe Anzahl von Cloudflare-Kunden war von der LĂĽcke gar nicht betroffen. Um Opfer des Speicher-Lecks auf den CDN-Servern zu werden mussten Cloudflare-Features aktiviert sein, welche Elemente der Seite (etwa Mailadressen) im Vorbeiflug auf den Servern der Firma modifizieren. Und auĂźerdem mussten die Dokumente von Seiten der Cloudflare-Kunden bereits fehlerhaftes HTML mit nicht geschlossenen Tags enthalten. In diesem Moment hatte die fehlerhafte Software dann zum Teil vertrauliche Daten von anderen Kunden auf die Seite gekippt und diese dem anfragenden Client geschickt.
Statistisch signifikant
Die Daten der Cloudflare-Forscher beruhen auf Logs, die 1 Prozent aller Anfragen an ihre Server enthalten. Cloudflare kann sich also nicht gänzlich sicher sein, dass keine Angriffe stattgefunden haben. Die Firma hält den Datensatz allerdings für statistisch repräsentativ und schätzt die Wahrscheinlichkeit für einen solchen Angriff deshalb trotzdem als sehr minimal ein. Die Untersuchung der Cloudbleed-Lücke durch das Sicherheitsteam der Firma ist allerdings noch nicht beendet. Auch externe Sicherheitsexperten wurden einbezogen. (fab)
