Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

Artikel veröffentlicht am ,
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Der Anti-DDoS-Anbieter Cloudflare hat in einem Blogpost durchgerechnet, wie viele Webseiten von der Cloudbleed-Sicherheitslücke im HTML-Parser des Unternehmens betroffen waren. Dazu hat das Unternehmen die eigenen Log-Dateien ausgewertet.

Inhalt:
  1. Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz
  2. Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Das Unternehmen schreibt: "Obwohl der Bug schlimm war, hätten die Dinge noch deutlich schlechter laufen können." Man habe aber keine Hinweise darauf gefunden, dass der Bug tatsächlich in bösartiger Weise ausgenutzt wurde. Außerdem seien bei der überwiegenden Zahl der Kunden keine Daten geleakt worden.

Der Parser wird nach Angaben von Cloudflare genutzt, um verschiedene Funktionen zu automatisieren, etwa die Umschreibung von HTTP- zu HTTPS-Links, oder der Schutz von E-Mail-Adressen vor automatischen Mail-Adressen-Sammlern. Damit der Bug ausgenutzt werden konnte, mussten zwei Bedingungen erfüllt sein.

HTML "auf bestimmte Art und Weise kaputt"

Erstens musste das HTML der angefragten Seite "auf eine bestimmte Art und Weise kaputt sein", zweitens mussten bestimmte Cloudflare-Dienste aktiv sein. Konkret tauchte der Fehler immer dann auf, wenn eine angefragte Webseite mit einem unbestimmten Attribut endete.

Den durch den Bug verursachten Schaden analysiert Cloudflare in zwei Stufen. Im ersten Zeitraum zwischen dem 22. September 2016 und dem 13. Februar 2017 seien weniger als 180 Seiten betroffen gewesen. Eine Analyse der Webseitenaufrufe habe zudem ergeben, dass der Bug 605.037-mal ausgelöst wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwundbarer Parser ab Februar auf deutlich mehr Seiten 
  1. 1
  2. 2
  3.  


smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...



Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. LTE: Kaum weniger Funklöcher in Deutschland
    LTE
    Kaum weniger Funklöcher in Deutschland

    Während bei 5G viel ausgebaut wurde, haben die Netzbetreiber zu wenig LTE-Funklöcher geschlossen. Das ergab zumindest eine Auswertung von Verivox.

  2. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  3. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /