Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Fabian A. Scherschel 55

Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare

Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt

Bild: Cloudflare

Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.

Nach Bekanntwerden der unter dem Namen "Cloudbleed" öffentlich gewordenen Sicherheitslücke beim Content Delivery Network Cloudflare hat dessen Sicherheitsabteilung die Auswirkungen der Lücke untersucht.

Anzeige

Obwohl die Clouflare-Mitarbeiter zugeben, das Ausmaß der Lücke sei "potenziell riesig" gewesen, habe man auch nach eingehender Untersuchung in der Praxis keinen Missbrauch feststellen können.

In den Logs der Firma fand sich auch nach mehrtägiger Suche kein Hinweis darauf, dass jemand die Lücke ausgenutzt hat oder dies auch nur versuchte, bevor sie gepatcht wurde. Nach der Analyse von Tausenden von Cloudflare-Seiten in den Caches von Suchmaschinen habe man zwar "eine große Zahl" von internen Cloudflare-Headern und den Cookies von Cloudflare-Kunden gefunden, aber keine Passwörter, Kreditkartennummern oder Gesundheitsdaten.

Beispiel eines Cloudbleed-Lecks aus dem Cache einer Suchmaschine. (Bild: Cloudflare)

Eine große Anzahl von Cloudflare-Kunden war von der Lücke gar nicht betroffen. Um Opfer des Speicher-Lecks auf den CDN-Servern zu werden mussten Cloudflare-Features aktiviert sein, welche Elemente der Seite (etwa Mailadressen) im Vorbeiflug auf den Servern der Firma modifizieren. Und außerdem mussten die Dokumente von Seiten der Cloudflare-Kunden bereits fehlerhaftes HTML mit nicht geschlossenen Tags enthalten. In diesem Moment hatte die fehlerhafte Software dann zum Teil vertrauliche Daten von anderen Kunden auf die Seite gekippt und diese dem anfragenden Client geschickt.

Die Daten der Cloudflare-Forscher beruhen auf Logs, die 1 Prozent aller Anfragen an ihre Server enthalten. Cloudflare kann sich also nicht gänzlich sicher sein, dass keine Angriffe stattgefunden haben. Die Firma hält den Datensatz allerdings für statistisch repräsentativ und schätzt die Wahrscheinlichkeit für einen solchen Angriff deshalb trotzdem als sehr minimal ein. Die Untersuchung der Cloudbleed-Lücke durch das Sicherheitsteam der Firma ist allerdings noch nicht beendet. Auch externe Sicherheitsexperten wurden einbezogen. (fab)

55 Kommentare

Themen:

Anzeige
  1. iCloud in China: Apple speichert auch Schlüssel lokal

    Apple in China

    Chinesische Behörden dürften es nach dem Umzug von Apple-Userdaten ins Land deutlich leichter haben, an Informationen zu gelangen. Menschenrechtler warnen.

  2. Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

    Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

    Der Angriff auf die IT-Infrastruktur der Olympischen Spiele in Pyeongchang war wohl nur eine Übung darin, anderen einen Cyberangriff in die Schuhe zu schieben. Das jedenfalls legen neue Erkenntnisse von Forschern nahe, die Zugang zu der Malware hatten.

  3. Daten von Millionen Verizon-Kunden waren ungeschützt

    Vorratsdatenspeicherung

    US-Provider Verizon ließ über einen Dienstleister Daten von Millionen Kunden mehrere Monate lang ungesichert auf einem Webserver lagern.

  4. Memcached Amplification Attack: Neuer DDoS-Angriffsvektor aufgetaucht

    Memcached Amplification Attack: Neuer DDoS-Angriffsvektor aufgetaucht

    Öffentlich erreichbare Memcached-Installationen werden von Angreifern für mächtige DDoS-Attacken missbraucht. Die Besitzer dieser Server wissen oft nicht, dass sie dabei helfen, Webseiten aus dem Internet zu spülen.

  1. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Mit einem neuen Ansatz versucht das jetzt erhältliche Linux 4.15 ein altbekanntes Stromsparproblem aus der Welt zu schaffen. Der neue Kernel verbessert den Support für AMDs aktuelle Grafikchips. Schutz vor Meltdown und Spectre ist auch dabei.

  2. Gefahr in der Mail: So erkennen Sie Phishing-Versuche

    Phishing-Mail

    Vor Viren und Trojanern brauchen sich iPhone- und iPad-Besitzer nach wie vor kaum zu fürchten. Vor Phishing-Attacken, die Passwörter oder Kontodaten ausspionieren, sollten Sie sich aber in Acht nehmen. Wir zeigen wie.

  3. Logging und Tracing mit Kontextinformation für Java-Entwickler

    Logging und Tracing mit Kontextinformation für Java-Entwickler

    Um Fehlfunktionen und anderen Softwaremängeln schneller auf die Schliche zu kommen, helfen aussagekräftige Logs. Zipkin und die Logging-Bibliothek log4j ergänzen Logeinträge und ermöglichen ein schnelleres Auffinden relevanter Einträge auch in verteilten Microservice-Architekturen.

  1. Kabel-Fusion: Vodafone und Liberty Global offenbar kurz vor Einigung

    Kabel-Fusion: Vodafone und Liberty Global offenbar kurz vor Einigung

    In die Gespräche über einen möglichen Verkauf von Unitymedia an Vodafone stehen einem Zeitungsbericht zufolge kurz vor dem Abschluss. Eine Fusion der beiden größten deutschen Kabelnetzbetreiber hätte Konsequenzen für den Wettbewerb, warnt die Telekom.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. WhatsApp mit iOS 11.3: Exchange-Kontakte können fehlen

    WhatsApp

    Aufgrund einer Änderung in iOS 11.3 kann WhatsApp auf dem iPhone plötzlich nicht mehr auf Kontaktdaten zugreifen, die per Exchange synchronisiert werden. Auch andere Apps und MDM-Anbieter sind betroffen.

  4. Wie sinnvoll ist ein Kopftuchverbot, um dem Kopftuchzwang entgegenzuwirken?

    In Österreich möchte die Bundesregierung ein Kopftuchverbot an den Schulen und Kindergärten einführen

Anzeige