Abo
  • Services:
Anzeige
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Am 13. Februar wurde der betroffene Parser dann nach Angaben von Cloudflare auf weiteren Webseiten aktiviert - von 180 auf rund 6.500. Insgesamt seien von September 2016 bis zur Entdeckung des Bugs 1.242.071 Seitenaufrufe mit dem problematischen Parser erfolgt.

Die meisten der betroffenen Webseiten waren nach Angaben von Cloudflare "kleine und wenig besuchte Webseiten". Die Auswirkungen seien dabei jeweils unterschiedlich gewesen, die herausgegebenen Inhalte "zufällig", schreibt das Unternehmen.

Anzeige

Um herauszufinden, ob die Schwachstelle ausgenutzt wurde, untersuchte Cloudflare ein anderes Sample gespeicherter Daten. Von allen Anfragen wird ein Prozent "für einen begrenzten Zeitraum" zufällig gespeichert, inklusive der Antwort der Cloudflare-Server. Cloudflare suchte eigenen Angaben zufolge nach IP-Adressen, die Seiten aus dem Sample an einem Tag mehr als 1.000-mal abgefragt und mehr Daten heruntergeladen haben, als die Seite eigentlich preisgibt.

Kein nachweisbarer Missbrauch bislang

Sieben der untersuchten Adressen sollen diesem Kriterium entsprechen, wobei keine der angefragten Adressen den verwundbaren Parser ausgeliefert haben soll und somit nicht verwundbar sei. Nach Maßgabe der Daten geht Cloudflare daher davon aus, dass zumindest im Zeitraum zwischen dem 8. Februar und dem 18. Februar 2017 (dem Datum des Patches) keine bösartigen Anfragen getätigt wurden.

Nach dem Patch waren einige der geleakten Daten nach wie vor bei Suchmaschinenanbietern verfügbar. In Zusammenarbeit mit den Betreibern Google, Bing, Yahoo, Baidu, Yandex und Duckduckgo wurden etwa 80.000 Seiten aus den entsprechenden Caches entfernt. Wer nach wie vor entsprechende Daten findet, kann diese an parserbug@cloudflare.com melden.

Pro geleaktem Datensatz erwartet Cloudflare, dass im Schnitt 67,54 interne Cloudflare-Header, 0,44 Cookies und 0,04 Tokens herausgegeben werden. Die Analyse schließt nach Angaben von Cloudflare nicht aus, dass Passwörter, Kreditkarteninformationen oder Verschlüsselungskeys herausgegeben wurden, es sei aber nicht sehr wahrscheinlich, dass das tatsächlich passiert sei.

 Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

eye home zur Startseite
smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...



Anzeige

Stellenmarkt
  1. über Hays AG, Berlin
  2. Robert Bosch GmbH, Hildesheim
  3. Läpple Dienstleistungsgesellschaft mbH, Heilbronn, Teublitz
  4. neam IT-Services GmbH, Paderborn


Anzeige
Spiele-Angebote
  1. (-80%) 2,99€
  2. (-10%) 53,99€
  3. 8,99€

Folgen Sie uns
       


  1. Turi Create 4.0

    Apple macht KI-Framework zur Bilderkennung quelloffen

  2. LG 32UD99-W im Test

    Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR

  3. Jailbreak

    Googles Sicherheitsteam hackt mal wieder das iPhone

  4. Asus Rog Strix

    Notebooks mit 120-Hz-Display für LoL und Pubg vorgestellt

  5. Raumfahrt

    SpaceX schickt gebrauchtes Gespann zur ISS

  6. Android-Verbreitung

    Oreo gibt die rote Laterne ab

  7. Q# und QDK

    Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  8. Corning

    3M verkauft seine Glasfaserproduktion

  9. In eigener Sache

    Golem pur verschenken

  10. Home Max

    Googles smarter Toplautsprecher kommt pünktlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

Thinkpad X1 Yoga v2 im Test: LCD gegen OLED
Thinkpad X1 Yoga v2 im Test
LCD gegen OLED

Samsung Gear Sport im Test: Die schlaue Sportuhr
Samsung Gear Sport im Test
Die schlaue Sportuhr
  1. Wearable Fitbit macht die Ionic etwas smarter
  2. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  3. Fitbit Ionic im Test Die (noch) nicht ganz so smarte Sportuhr

  1. Wie soll das gehen? Für seine Anhänger ist doch...

    Keridalspidialose | 13:05

  2. Re: Oberleitungen sind geldverschwendung

    M.P. | 13:04

  3. Re: jetzt starten die USA...

    FreierLukas | 13:04

  4. Re: Diese Trump-Rhetorik verursacht Kopfschmerzen

    deefens | 13:04

  5. Re: Wer zahlt eigentlich den Strom

    chefin | 13:01


  1. 13:07

  2. 12:05

  3. 11:38

  4. 11:19

  5. 10:48

  6. 10:34

  7. 10:18

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel