Cloudbleed es la última gran brecha de seguridad que ha expuesto los datos privados de millones de personas

Cloudbleed es la última gran brecha de seguridad que ha expuesto los datos privados de millones de personas
14 comentarios Facebook Twitter Flipboard E-mail

Esta mañana se daba a conocer que la compañía de seguridad y rendimiento web Cloudflare, que es una de las más grandes e importantes en internet, había identificado "un pequeño fallo" de código que habría expuesto los datos de un número no determinado de sitios. De acuerdo al comunicado de la propia compañía, han localizado la vulnerabilidad y lo han resuelto, pero ahora se sabe que la brecha de seguridad es más grave de lo que imaginábamos.

Para poner un poco en contexto la situación, hay que mencionar que Cloudflare ofrece, entre una amplia variedad de servicios, tecnología que es usada en más de 5,5 millones de sitios en internet, entre los que se encuentra Uber, OKCupid, 1Password, Fitbit, entre otros. Lo que significa que una gran, gran cantidad de datos privados ha sido expuesta, ocasionando un potencial desastre de seguridad, que debido a su magnitud es imposible determinar en nivel de daño hasta el momento.

Hasta el momento es imposible determinar el nivel de daño

Esta vulnerabilidad, que ya ha sido bautizada como Cloudbleed, fue descubierta por Tavis Ormandy, investigador de seguridad en Project Zero de Google, quien dio la voz de alarma a Cloudflare el pasado 18 de febrero, pero lo grave de todo es que la vulnerabilidad había estado activa desde el 22 de septiembre de 2016.

El periodo de mayor impacto fue entre el 13 y el 18 de febrero, cuando una de cada 3.300.000 solicitudes HTTP provocaron filtraciones de memoria en 3,438 dominios únicos. Para complicar aún más las cosas, todos los datos expuestos fueron indexados por Google y otros buscadores, lo que hizo que todo fuera almacenado en cache y estuviera disponible de forma pública.

Entre los datos filtrados se encuentran contraseñas, información personal, cookies, peticiones HTTPS completas, claves API, direcciones IP de clientes, e incluso tokens de autenticación hash. Se estima que 4.287.625 sitios han sido afectados, lo que incluye algunas aplicaciones para iOS como Fitbit. Estos son algunos de los sitios más destacados:

  • authy.com
  • patreon.com
  • medium.com
  • 4chan.org
  • yelp.com
  • zendesk.com
  • uber.com
  • thepiratebay.org
  • pastebin.com
  • discordapp.com
  • change.org
  • feedly.com
  • hardsextube.com
  • nationalreview.com
  • news.ycombinator.com
  • petapixel.com
  • puu.sh
  • putlocker.ws
  • tineye.com
  • 1password.com
  • fastmail.com

En el caso de 1Password y FastMail ya han confirmando que toda la información filtrada estaba bajo un cifrado adicional, por lo que los datos de sus usuarios no están en riesgo. Mientras que el resto de las compañías ya están pidiendo a todos sus usuarios que cambien cuanto antes sus contraseñas, y de ser posible habiliten la autenticación de dos pasos, en caso de ser posible.

¿Qué fue lo que sucedió?

CloudFlare

En la explicación de Cloudflare se pueden leer todos los detalles técnicos. Pero a modo de resumen, el error implicó un "==" en el código donde debería haber sido un "> =". Esto significa que el software intentó guardar los datos de usuario en el lugar correcto, pero cuando esté lugar se llenó, el software terminó almacenando esos datos en otros lugares, en sitios web completamente distintos.

Cloudflare asegura que el fallo llevó a solo unos cuantos datos filtrados, pero si consideramos que la vulnerabilidad estuvo presente durante cinco meses, y que gran parte de esos datos estuvieron almacenados en el cache de diversos buscadores, entonces no se trata de que solo Cloudflare ya haya resuelto el fallo, sino que toda esa información, que repito, es imposible de determinar, es muy probable que siga disponible en algún lugar de internet.

Más información | Cloudflare
En Genbeta | Cloudflare admite que un bug filtró durante meses las contraseñas, IPs y cookies de sesiones HTTPS

Comentarios cerrados
Inicio