Abo
  • Services:
Anzeige
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

Der Anti-DDoS-Anbieter Cloudflare hat in einem Blogpost durchgerechnet, wie viele Webseiten von der Cloudbleed-Sicherheitslücke im HTML-Parser des Unternehmens betroffen waren. Dazu hat das Unternehmen die eigenen Log-Dateien ausgewertet.

Anzeige

Das Unternehmen schreibt: "Obwohl der Bug schlimm war, hätten die Dinge noch deutlich schlechter laufen können." Man habe aber keine Hinweise darauf gefunden, dass der Bug tatsächlich in bösartiger Weise ausgenutzt wurde. Außerdem seien bei der überwiegenden Zahl der Kunden keine Daten geleakt worden.

Der Parser wird nach Angaben von Cloudflare genutzt, um verschiedene Funktionen zu automatisieren, etwa die Umschreibung von HTTP- zu HTTPS-Links, oder der Schutz von E-Mail-Adressen vor automatischen Mail-Adressen-Sammlern. Damit der Bug ausgenutzt werden konnte, mussten zwei Bedingungen erfüllt sein.

HTML "auf bestimmte Art und Weise kaputt"

Erstens musste das HTML der angefragten Seite "auf eine bestimmte Art und Weise kaputt sein", zweitens mussten bestimmte Cloudflare-Dienste aktiv sein. Konkret tauchte der Fehler immer dann auf, wenn eine angefragte Webseite mit einem unbestimmten Attribut endete.

Den durch den Bug verursachten Schaden analysiert Cloudflare in zwei Stufen. Im ersten Zeitraum zwischen dem 22. September 2016 und dem 13. Februar 2017 seien weniger als 180 Seiten betroffen gewesen. Eine Analyse der Webseitenaufrufe habe zudem ergeben, dass der Bug 605.037-mal ausgelöst wurde.

Verwundbarer Parser ab Februar auf deutlich mehr Seiten 

eye home zur Startseite
smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Themenstart

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

Themenstart

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Compana Software GmbH, Feucht
  2. über Jobware Personalberatung, Raum Köln
  3. über Jobware Personalberatung, München
  4. OSRAM GmbH, Garching bei München


Anzeige
Spiele-Angebote
  1. (-76%) 8,99€
  2. (-20%) 55,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  2. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  3. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  4. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  5. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach

  6. Ransomware

    Scammer erpressen Besucher von Porno-Seiten

  7. Passwort-Manager

    Lastpass fällt mit gleich drei Sicherheitslücken auf

  8. Sony

    Playstation 4 Pro spielt mp4-Videodateien jetzt in 4K ab

  9. Laptop-Verbot

    Terroristen basteln offenbar an explosiven iPads

  10. IoT

    Software-AG-Partner wird zur Tochter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. iPhone Apple lässt A11-Chip in 10-nm-Verfahren produzieren
  2. WatchOS 3.2 und TVOS 10.2 Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen
  3. Patentantrag Apple will iPhone ins Macbook stecken

  1. Re: Wer fälscht bitte Münzen!??

    Codemonkey | 17:48

  2. Re: Wenn man kein Amazonkonto hat?

    Areon | 17:47

  3. Re: Kein BluRay :_(

    narfomat | 17:46

  4. Re: 100%

    Quantium40 | 17:40

  5. keine Sorge

    TC | 17:38


  1. 17:50

  2. 17:28

  3. 17:10

  4. 16:45

  5. 16:43

  6. 16:21

  7. 16:03

  8. 15:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel