CloudFlare – Unmengen von sensiblen Daten frei verfügbar

Klasse: Erst drängt man Webmaster zu AMP-Seiten, was dann praktischerweise mit CloudFlare umgesetzt wird, dann liegen diese Daten frei verfügbar herum. So oder so ähnlich könnte man sich das denken, was man da nun über den Anbieter eines dezentralen Content Delivery Networks mit angehängtem DNS erfährt. Das Netzwerk gibt es seit 2009 und hatte immer wieder Sicherheitsprobleme. Vor einem dreiviertel Jahr zum Beispiel mit DNS-Anfragen mit dem Bundestag. Dennoch wird CloudFlare weiter empfohlen. Und ich bin mir nicht sicher, ob sich das nun erledigt hat.

Man soll angeblich CloudFlare benutzen, um Webseiten zu beschleunigen und sie vor bösartigen Cyber-Angriffen zu schützen. So steht es in einem Artikel, bei dem das Lesen mit Werbeblocker blockiert wird. Dazu werden Bilder direkt von CloudFlare aus dem Support-Bereich und dem Blog des Unternehmens eingebunden. Nun ja, nun ist CloudFlare jedenfalls in aller Munde, weil Positionsdaten von Uber-Nutzern, private Chatnachrichten von Nutzern von Dating- und Erotik-Portalen und so weiter frei im Internet herum schwirren.

An bekannten Diensten haben wir eine ganze Menge, wovon man bisher weiß: Uber, Fitbit, OKCupid, Medium, Yelp, Reddit, The Pirate Bay und viele andere mehr. Damit sind nun Daten wie Passwörter aus Online-Passwortmanagern, Hotelbuchungen, E-Mails, Chats auf Dating-Websites, Cookies, Authentifizierungs-Token und andere sensible Informationen frei verfügbar. Und sie können genutzt und missbraucht werden. Mal abgesehen davon, dass Webseiten, die mit dem Dienst zusammengearbeitet haben, nun unter Lastschwankungen leiden dürften.

Das Problem sind wohl Fehler im Programmiercode von CloudFlare. Das hat sogar Google selbst mitbekommen. Denn bei denen landeten auch diverse Daten. Da wurden diverse Bestandteile aktualisiert, die dann problematisch reagierten und diesen ganzen Zirkus veranstalteten. Inzwischen sind sie wohl abgeschaltet. Aber das ist schon ein ziemlich heißes Eisen, was da geschmiedet wurde:

  • Erst gab es seit Jahren im Code einen Programmierfehler
  • Mit einem Update am 22. September 2016 wurde dieser aktiv, aber angeblich nicht genutzt
  • Weitere Funktionen folgten in den Monaten danach
  • Zwischen 13.02. und 18.02.2017 kam es zu einer Code-Umstellung und zu einer echten Gefährdung
  • Tagelang konnten Daten weitergegeben werden, weil sie falsch zugeordnet wurden

Geschlagene fünf Tage hat es gedauert, bis alle Beteiligten an die Öffentlichkeit gingen. Das war gestern. Mit allen möglichen Suchmaschinen-Betreibern wurde vorher nach zwischengespeicherten URLs gesucht. Denn die konnten unter Umständen Datenlecks enthalten. In den Suchmaschinen wurden 770 gelöscht, aber was ist mit den ganzen Browsern und der dortigen Cache-Funktion? Es könnte passiert sein, dass wirklich Unmassen von Nutzern betroffen sind. Und das, obwohl man behauptet, dass eine Kompromittierung recht unwahrscheinlich ist.

Unterm Strich soll die Lücke 5 Millionen Webseiten betroffen haben. Angeblich soll eine Funktion dafür verantwortlich gewesen sein, die HTTP-Links in HTTPS-Links umschreibt oder Email-Adressen verbirgt. Scheinbar hat sie aber richtig Ärger gemacht. Und weil eben alles irgendwie bei CloudFlare verteilt arbeitet, hat es eben so lang gedauert, bis man Entwarnung geben konnte. Aber war das eventuell der Grund für die Google-Account-Geschichte? Das will ich mir nicht vorstellen, aber ist das denkbar? Ich weiß es nicht.

Und nun haben wir den Salat: Unzählige Webseiten nutzen die Accelerated Mobile Pages (AMP) von Google, um eine reduziert Version ihrer Webseite mobil anzeigen zu können. Auf denen wurde dann aber keine Werbung angezeigt, bis Google unter anderem mit CloudFlare anfing zusammen zu arbeiten. Und jetzt geisterten die ganzen Daten irgendwo im Internet umher, und niemand weiß, ob die alle eingefangen werden konnten? Ist das so eine Art der Geister, die ich rief? Ich will mir das gar nicht vorstellen.

One Reply to “CloudFlare – Unmengen von sensiblen Daten frei verfügbar”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert