Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.035 Produkten

Fabian A. Scherschel 55

Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare

Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt

Bild: Cloudflare

Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.

Nach Bekanntwerden der unter dem Namen "Cloudbleed" öffentlich gewordenen Sicherheitslücke beim Content Delivery Network Cloudflare hat dessen Sicherheitsabteilung die Auswirkungen der Lücke untersucht.

Anzeige

Obwohl die Clouflare-Mitarbeiter zugeben, das Ausmaß der Lücke sei "potenziell riesig" gewesen, habe man auch nach eingehender Untersuchung in der Praxis keinen Missbrauch feststellen können.

In den Logs der Firma fand sich auch nach mehrtägiger Suche kein Hinweis darauf, dass jemand die Lücke ausgenutzt hat oder dies auch nur versuchte, bevor sie gepatcht wurde. Nach der Analyse von Tausenden von Cloudflare-Seiten in den Caches von Suchmaschinen habe man zwar "eine große Zahl" von internen Cloudflare-Headern und den Cookies von Cloudflare-Kunden gefunden, aber keine Passwörter, Kreditkartennummern oder Gesundheitsdaten.

Cloudflare
Beispiel eines Cloudbleed-Lecks aus dem Cache einer Suchmaschine. (Bild: Cloudflare)

Eine große Anzahl von Cloudflare-Kunden war von der Lücke gar nicht betroffen. Um Opfer des Speicher-Lecks auf den CDN-Servern zu werden mussten Cloudflare-Features aktiviert sein, welche Elemente der Seite (etwa Mailadressen) im Vorbeiflug auf den Servern der Firma modifizieren. Und außerdem mussten die Dokumente von Seiten der Cloudflare-Kunden bereits fehlerhaftes HTML mit nicht geschlossenen Tags enthalten. In diesem Moment hatte die fehlerhafte Software dann zum Teil vertrauliche Daten von anderen Kunden auf die Seite gekippt und diese dem anfragenden Client geschickt.

Die Daten der Cloudflare-Forscher beruhen auf Logs, die 1 Prozent aller Anfragen an ihre Server enthalten. Cloudflare kann sich also nicht gänzlich sicher sein, dass keine Angriffe stattgefunden haben. Die Firma hält den Datensatz allerdings für statistisch repräsentativ und schätzt die Wahrscheinlichkeit für einen solchen Angriff deshalb trotzdem als sehr minimal ein. Die Untersuchung der Cloudbleed-Lücke durch das Sicherheitsteam der Firma ist allerdings noch nicht beendet. Auch externe Sicherheitsexperten wurden einbezogen. (fab)

55 Kommentare

Themen:

Anzeige
  1. Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

    Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

    Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

  2. Datenleaks durch Cloudflare-Fehler: 1Password gibt Entwarnung

    1Password-Apps

    Der auf Mac und iOS-Geräten beliebte Passwortmanager war von der Cloudbleed genannten Lücke zwar betroffen, Daten seien aber zusätzlich verschlüsselt gewesen.

  3. Bericht: Apple kauft keine Server von Supermicro mehr

    Facebook-Rechenzentrum

    Der iPhone-Hersteller glaubte offenbar, dass mindestens eine der von der Firma gelieferten Maschinen für ein iCloud-Rechenzentrum eine Sicherheitslücke hatte. Apple baut eigene Infrastrukturen auf und fürchtet kompromittierte Hardware.

  4. Daten von Millionen Verizon-Kunden waren ungeschützt

    Vorratsdatenspeicherung

    US-Provider Verizon ließ über einen Dienstleister Daten von Millionen Kunden mehrere Monate lang ungesichert auf einem Webserver lagern.

  1. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  2. Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

    Lücken in LTS-Ubuntu

    In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

  3. Gefahr in der Mail: So erkennen Sie Phishing-Versuche

    Phishing-Mail

    Vor Viren und Trojanern brauchen sich iPhone- und iPad-Besitzer nach wie vor kaum zu fürchten. Vor Phishing-Attacken, die Passwörter oder Kontodaten ausspionieren, sollten Sie sich aber in Acht nehmen. Wir zeigen wie.

  1. Alexa-Sprachsteuerung kommt auf PCs und Smartphones

    Alexa-Sprachsteuerung kommt auf den PC

    Amazon will seine Sprachsteuerung auf PCs und Smartphones bringen. Eine Erweiterung, die das auf Android-Geräten umsetzt, wird bereits in den nächsten Tagen erwartet.

  2. Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Googles Fuchsia ist ein Betriebssystem mit eigenem Kernel und kommt als Android-Nachfolger in Frage. Erste Bilder zeigen es im Betrieb auf einem Pixelbook.

  3. 60 Jahre Honda Super Cub

    Zweirad

    Was ist das meistgebaute Kraftfahrzeug der Welt? Spontan werden die meisten wahrscheinlich auf den VW Golf oder Toyota Corolla tippen, aber weit gefehlt, es ist ein Motorrad - die unscheinbare Honda Super Cub, deren Siegeszug vor 60 Jahren begann, und die mehr als 100 Million Mal gebaut wurde

  4. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach

    Fataler Konstruktionsfehler im besonderen anwaltlichen Postfach?

    Markus Drenger und Felix Rohrbach vom Chaos Darmstadt haben ihre Erkenntnisse zum beA am Dienstagabend an der TU Darmstadt erneut präsentiert. Und es sieht ganz danach aus, dass die Client-Software einen irreparablen Konstruktionsfehler hat.

Anzeige