O pesquisador de segurança Tavis Ormandy, membro da equipe Project Zero do Google, fez uma descoberta estarrecedora: o serviço Cloudflare estava vazando dados de conexões de usuários há meses.
Uma falha de segurança, já batizada de Cloudbleed pela imprensa, permitia em teoria que um hacker tivesse acesso a senhas, credenciais, certificados e outros dados que supostamente deveriam estar criptografados.
“Eu estava encontrando mensagens privadas de grandes sites de relacionamentos, mensagens completas de um conhecido serviço de chat, dados de gerenciadores de senha online, frames de sites de vídeos adultos, reservas de hotel”, revelou Ormandy, abismado. “Nós estamos falando de requisições HTTPS inteiras, com endereço de IP do cliente, respostas completas, cookies, senhas, chaves, dados, tudo”, completou o pesquisador na postagem sobre sua descoberta.
A vulnerabilidade afetava todos os sites que dependiam dos serviços de CDN da Cloudflare e a lista é considerável: OK Cupid, ZenDesk, Bitdefender e milhões de outros clientes. Felizmente, não há registros que a brecha de segurança tenha sido utilizada para espionar ou interceptar dados de usuário.
Ormandy afirma que entrou em contato com a Cloudflare a respeito do bug e a empresa conseguiu consertar as brechas que permitiam o vazamento de memória. Os especialistas de segurança estão trabalhando agora em conjunto em busca de vulnerabilidades similares que ainda possam estar ativas.
