Jetzt auch „Cloudbleed“: Cloudflare-Nutzerdaten im Netz veröffentlicht

Cloudflare ist ein riesiger Internetanbieter für Hosting- und Infrastrukturleistungen (5,5 Millionen Websites). Höchst wahrscheinlich nimmt jeder von uns täglich Cloudflare-Dienste in Anspruch, ohne es überhaupt zu bemerken. Je nachdem, welche Statistiken...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Cloudflare ist ein riesiger Internetanbieter für Hosting- und Infrastrukturleistungen (5,5 Millionen Websites). Höchst wahrscheinlich nimmt jeder von uns täglich Cloudflare-Dienste in Anspruch, ohne es überhaupt zu bemerken. Je nachdem, welche Statistiken man zurate zieht, nutzen bis zu 25 Prozent der Alexa-Top-10.000-Websites Cloudflare für einen Teil ihrer öffentlich zugänglichen Infrastruktur.

Cloudflare-Dienste

Das Angebot lässt sich grob in zwei Bereiche unterteilen:

  1. extrem schnelle und verteilte DNS-Dienste
  2. DDoS-Schutz (und einige damit zusammenhängende Sicherheitsfunktionen zum Umschreiben von Webseiten während der Übertragung, was vor Datenextraktion und anderen schädlichen Aktivitäten schützen soll

Die jüngst von Cloudflare bekannt gegebene gigantische Sicherheitslücke bezieht sich auf den zweiten Punkt. Durch Bugs innerhalb einiger Funktionen zum Umschreiben des HTML-Codes wurden mehr Daten übermittelt als vorgesehen.

Cloudflare-Sicherheitslücken

Was war passiert? Kurz gesagt: Nutzer, die Websites aus dem Cloudflare-Netzwerk aufgerufen haben (z. B. Website A), könnten auch Antworten auf Anforderungen anderer Websites erhalten haben (Website B, Website C usw.), wenn sie auf demselben Caching-Server gespeichert waren.

Das klingt erst Mal nicht gut, aber auch nicht übermäßig dramatisch, mögen viele denken. Was ist schon dabei, wenn ein Teil der Überschrift von Website B auf Website A gelandet ist? Im Vergleich zu Heartbleed und ähnlichen Angriffen (bei denen private Schlüssel veröffentlicht wurden) oder den Datendiebstählen, die sich jede Woche ereignen, hört sich das fast harmlos an.

„Anforderung“, so lautet der Fachbegriff für die Interaktion mit einem HTTP-Server. Man ist versucht, sich einfach nur zwei durcheinandergewürfelte Webseiten vorzustellen – ungünstig, aber keine Katastrophe. Doch unter diesen Oberbegriff fallen auch HTTP-POST-Anforderungen (zur Formularübermittlung), mit denen beispielsweise Ihre E-Mail-Adresse und Ihr Passwort für Websites im Cloudflare-Netzwerk abgefragt werden. Auf diese Weise wurden möglicherweise auch Ihre Anmeldeinformationen veröffentlicht.

Google, Bing, Baidu und all die anderen Suchmaschinen sind ebenfalls „Nutzer“, die „Anforderungen“ an diese Websites senden. Der Unterschied besteht darin, dass sie die Daten speichern und jedem zeigen, der sie anfordert. Zwar bemühen sich die betroffenen Unternehmen nach Kräften, diese Daten endgültig aus dem Cache zu löschen, doch jetzt sind an die Öffentlichkeit gelangt, und es lässt sich schwer sagen, wo im Einzelnen sie gespeichert worden sind.

HTTP-Anforderungen werden im Internet weltweit nach allen Regeln der Kunst zwischengespeichert. Durch regionale Internetdienstanbieter genauso wie von Unternehmens-Proxys und Browsern. Man kann also getrost davon ausgehen, dass ein Teil der betroffenen Daten für ziemlich lange Zeit irgendwo herumschwirrt.

Wir haben es hier mit einem einzigartigen Sicherheitsproblem zu tun. Um es zu lösen existiert kein Standardverfahren. Jeder Systemadministrator weiß, wie man ein TLS-/SSL-Zertifikat aktualisiert (und dadurch zum Beispiel den Heartbleed-Bug behebt). Um aber herauszufinden, welche Daten überhaupt gefährdet gewesen sind, muss man mit Webentwicklern sprechen, Tests durchführen und Szenarien erwägen, die bis vor Kurzem noch praktisch undenkbar waren.

Bisher hat niemand einen Krisenplan ausgearbeitet, bei dem er vorsichtshalber von der Annahme ausgegangen ist, dass alle in den letzten sechs Monaten über seine Website übermittelten Daten veröffentlicht worden sind.

Viele Dienste nutzen aus Sicherheitsgründen maskierte API-Schlüssel. Jetzt muss plötzlich jeder dieser Schlüssel erneuert werden, da mit dem API-Schlüssel jeder auf die Funktionen des Diensts zugreifen könnte. Ähnlich verhält es sich mit OAuth, das unter normalen Umständen für mehr Sicherheit sorgt: Durch den Bug gelangen aber Zugriffs- und Aktualisierungstoken an die Öffentlichkeit, ein Albtraum für den Support.

Was Website-Betreiber prüfen sollten

So stellen Sie fest, ob Daten Ihrer Website veröffentlicht worden sind:

  1. Sie haben zwischen dem 9. September 2016 und dem 18. Februar 2017 Cloudflare genutzt.
  2. Sie haben Cloudflare als HTTP-/HTTPS-Proxy verwendet (und nicht nur den DNS-Dienst genutzt).

Was Privatpersonen prüfen sollten

Privatpersonen sollten davon ausgehen, dass potenziell alle Websites, die Cloudflare nutzen, betroffen sind.

Derzeit stellen Sicherheitsexperten unter https://github.com/pirate/sites-using-cloudflare eine Liste der betroffenen Websites zusammen. Werfen Sie einen Blick darauf und ändern Sie die betreffenden Passwörter sowie sämtliche API-Schlüssel, die Sie für die betroffenen Websites nutzen. Nach und nach werden wahrscheinlich auch die Website-Betreiber Sicherheitshinweise veröffentlichen.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

wir-stellen-vor:-datadvantage-cloud-–-datenzentrierte-sicherheit-für-saas-und-iaas
Wir stellen vor: DatAdvantage Cloud – datenzentrierte Sicherheit für SaaS und IaaS
Heute freuen wir uns, den Early Access auf DatAdvantage Cloud ankündigen zu können. Unsere neue Cloud-gehostete Lösung überträgt den datenzentrierten Sicherheitsansatz von Varonis auf AWS, Box, GitHub, Google Drive, Jira,...
cloudpro:-ist-geheimhaltung-das-fehlende-glied-bei-der-cloud-sicherheit?
CLOUDPRO: IST GEHEIMHALTUNG DAS FEHLENDE GLIED BEI DER CLOUD-SICHERHEIT?
Davey Winder von CloudPro hat in dieser Woche einen interessanten Artikel verfasst, der auf einer der wichtigsten Erkenntnisse unserer jüngsten zu Informations-Entropie aufbaut. Wir haben herausgefunden, dass 44 % der Befragten...
varonis-bietet-nun-erkennung-von-geheimnissen-in-lokalen-und-cloud-datenspeichern-an
Varonis bietet nun Erkennung von Geheimnissen in lokalen und Cloud-Datenspeichern an
Varonis kann Ihnen dabei helfen, Ihre Umgebungen nach inkorrekt gespeicherten Geheimnissen zu durchsuchen, die direkt in Dateien und im Code offengelegt sind, lokal und in der Cloud.
varonis-erweitert-die-funktionen-zur-cloud-datenklassifizierung-um-dateianalyse
Varonis erweitert die Funktionen zur Cloud-Datenklassifizierung um Dateianalyse
Wir freuen uns, Ihnen mitteilen zu können, dass die Data Classification Cloud jetzt eine robuste Dateianalyse zur Überprüfung der Klassifizierungsergebnisse in Ihrer gesamten Cloud-Umgebung bietet.