Abo
  • Services:
Anzeige
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

Der Anti-DDoS-Anbieter Cloudflare hat in einem Blogpost durchgerechnet, wie viele Webseiten von der Cloudbleed-Sicherheitslücke im HTML-Parser des Unternehmens betroffen waren. Dazu hat das Unternehmen die eigenen Log-Dateien ausgewertet.

Anzeige

Das Unternehmen schreibt: "Obwohl der Bug schlimm war, hätten die Dinge noch deutlich schlechter laufen können." Man habe aber keine Hinweise darauf gefunden, dass der Bug tatsächlich in bösartiger Weise ausgenutzt wurde. Außerdem seien bei der überwiegenden Zahl der Kunden keine Daten geleakt worden.

Der Parser wird nach Angaben von Cloudflare genutzt, um verschiedene Funktionen zu automatisieren, etwa die Umschreibung von HTTP- zu HTTPS-Links, oder der Schutz von E-Mail-Adressen vor automatischen Mail-Adressen-Sammlern. Damit der Bug ausgenutzt werden konnte, mussten zwei Bedingungen erfüllt sein.

HTML "auf bestimmte Art und Weise kaputt"

Erstens musste das HTML der angefragten Seite "auf eine bestimmte Art und Weise kaputt sein", zweitens mussten bestimmte Cloudflare-Dienste aktiv sein. Konkret tauchte der Fehler immer dann auf, wenn eine angefragte Webseite mit einem unbestimmten Attribut endete.

Den durch den Bug verursachten Schaden analysiert Cloudflare in zwei Stufen. Im ersten Zeitraum zwischen dem 22. September 2016 und dem 13. Februar 2017 seien weniger als 180 Seiten betroffen gewesen. Eine Analyse der Webseitenaufrufe habe zudem ergeben, dass der Bug 605.037-mal ausgelöst wurde.

Verwundbarer Parser ab Februar auf deutlich mehr Seiten 

eye home zur Startseite
smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...



Anzeige

Stellenmarkt
  1. über Nash Direct GmbH, Böblingen
  2. Automotive Safety Technologies GmbH, Ingolstadt
  3. über Hays AG, Hamburg
  4. Munich International School e. V., Starnberg Raum München


Anzeige
Blu-ray-Angebote
  1. 79,98€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  2. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  3. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  4. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  5. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  6. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  7. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  8. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  9. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel

  10. Unitymedia

    Discounter Eazy kommt technisch nicht an das TV-Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: Recht hat er. Wichtiger als Geschwindigkeit...

    forenuser | 04:42

  2. Re: Ja, weil viel zu teuer

    forenuser | 04:33

  3. Re: Schnelles WLAN wäre wichtiger

    Gandalf2210 | 04:28

  4. Re: The machine that builds the machine

    Gamma Ray Burst | 03:47

  5. Re: Tesla rasiert alle weg

    Gamma Ray Burst | 03:40


  1. 20:00

  2. 18:28

  3. 18:19

  4. 17:51

  5. 16:55

  6. 16:06

  7. 15:51

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel