Abo
  • Services:

Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

Artikel veröffentlicht am ,
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Der Anti-DDoS-Anbieter Cloudflare hat in einem Blogpost durchgerechnet, wie viele Webseiten von der Cloudbleed-Sicherheitslücke im HTML-Parser des Unternehmens betroffen waren. Dazu hat das Unternehmen die eigenen Log-Dateien ausgewertet.

Inhalt:
  1. Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz
  2. Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Das Unternehmen schreibt: "Obwohl der Bug schlimm war, hätten die Dinge noch deutlich schlechter laufen können." Man habe aber keine Hinweise darauf gefunden, dass der Bug tatsächlich in bösartiger Weise ausgenutzt wurde. Außerdem seien bei der überwiegenden Zahl der Kunden keine Daten geleakt worden.

Der Parser wird nach Angaben von Cloudflare genutzt, um verschiedene Funktionen zu automatisieren, etwa die Umschreibung von HTTP- zu HTTPS-Links, oder der Schutz von E-Mail-Adressen vor automatischen Mail-Adressen-Sammlern. Damit der Bug ausgenutzt werden konnte, mussten zwei Bedingungen erfüllt sein.

HTML "auf bestimmte Art und Weise kaputt"

Erstens musste das HTML der angefragten Seite "auf eine bestimmte Art und Weise kaputt sein", zweitens mussten bestimmte Cloudflare-Dienste aktiv sein. Konkret tauchte der Fehler immer dann auf, wenn eine angefragte Webseite mit einem unbestimmten Attribut endete.

Stellenmarkt
  1. Lufthansa Industry Solutions TS GmbH, Oldenburg
  2. tecmata GmbH, Wiesbaden

Den durch den Bug verursachten Schaden analysiert Cloudflare in zwei Stufen. Im ersten Zeitraum zwischen dem 22. September 2016 und dem 13. Februar 2017 seien weniger als 180 Seiten betroffen gewesen. Eine Analyse der Webseitenaufrufe habe zudem ergeben, dass der Bug 605.037-mal ausgelöst wurde.

Verwundbarer Parser ab Februar auf deutlich mehr Seiten 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. bei Alternate.de
  2. jetzt bei Apple.de bestellbar

smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...


Folgen Sie uns
       


Sony Xperia XZ2 Compact - Test

Sony hat wieder ein Oberklasse-Smartphone geschrumpft: Das Xperia XZ2 Compact hat leistungsfähige Hardware, eine bessere Kamera und passt bequem in eine Hosentasche.

Sony Xperia XZ2 Compact - Test Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

    •  /