Cloudbleed: Datenleck bei Cloudflare macht Nutzerdaten zugänglich

Viele große Unternehmen lassen ihre Websiten von Cloudflare vor Angriffen wie DDoS-Attacken schützen. Doch ein gegenteiliges Szenario ist nun eingetreten: Der Internetdienstleister war offenbar von einer schwerwiegenden Sicherheitslücke betroffen, welche zahlreiche Nutzerdaten, wie beispielsweise Passwörter, öffentlich zugänglich machte. Der Fehler existiert bereits seit einigen Monaten und wurde erst vor kurzer Zeit entdeckt und behoben. Die Serversoftware des Internetdienstleisters enthielt offenbar einen schwerwiegenden Fehler: Von Cloudflare verwaltete Websiten schickten auf Anfrage nicht nur den Inhalt der Seite, sondern auch versteckte Speicherinhalte anderer Seiten mit. Wie unter anderem Techcrunch berichtet hat, gab der Anbieter selbst ein Statement zu dem Vorfall ab. Demnach konnten die fälschlicherweise mitgesendeten Inhalte auch sensible Informationen wie beispielsweise Nutzerdaten enthalten. Auch größere Portale wie Uber und OkCupid sind von der Sicherheitslücke betroffen gewesen. Insgesamt werden mehr als fünf Millionen Website von Cloudflare betreut.

Suchmaschinen haben Daten indiziert

Besonders kritisch ist zudem auch die Tatsache, dass einige Suchmaschinen, darunter auch Google und Bing, die versehentlich veröffentlichten Informationen in den eigenen Index aufgenommen haben, sodass es weiteren Personen noch einfacher gemacht wird, an die privaten Daten der betroffenen Nutzer heranzukommen. Zwar hat Cloudflare die Betreiber der Dienste kontaktiert, damit die indizierten Daten gelöscht werden können, jedoch könnten noch immer private Informationen öffentlich zugänglich sein, da diese nicht direkt entdeckt worden sind.

Die Sicherheitslücke soll hingegen zu keiner Zeit von einem Angreifer vorsätzlich ausgenutzt worden sein. Zumindest berichtet Cloudflare darüber, dass es hierfür zum jetzigen Zeitpunkt keine Anhaltspunkte gibt. Das Datenleck wurde von einem Google-Mitarbeiter entdeckt, der im Google-Index öffentlich zugänglich gemachte Daten fand, die über die Sicherheitslücke herausgegeben wurden.

Der Fehler ist seit einem längeren Zeitraum, wahrscheinlich schon seit September des letzten Jahres, vorhanden. Die meisten Nutzerdaten sollen allerdings erst im Zeitraum zwischen dem 13. bis 18. Februar von den Suchmaschinenbetreibern abgerufen worden sein. Nachdem Cloudflare über die Sicherheitslücke in Kenntnis gesetzt wurde, sei das Datenleck innerhalb weniger Stunden wieder abgesichert worden.