Cloudbleed: O que podemos aprender com o vazamento de dados do Cloudflare

A Cloudflare é uma grande empresa de infraestrutura de internet responsável por mais de 5,5 milhões de websites. Ou seja, é provável que você use seus serviços todos os dias sem nem se dar conta. Dependendo da métrica usada, cerca de 25% do top 10.000 de sites do ranking Alexa usam o Cloudflare em alguma parte de sua infraestrutura.

A empresa é responsável por dois serviços:

1. Serviços de DNS massivamente rápidos e distribuídos

2. Mitigação de ataques de negação de serviço (e alguns recursos de segurança relacionados à reescrita de suas páginas web)

Foi o segundo grupo de serviços da Cloudflare que anunciou um grande incidente de segurança no último mês. Alguns dos recursos de reescrita HTML tinham bugs que retornavam mais dados do que continham.

Os problemas de segurança do Cloudflare

Então o que aconteceu? Em resumo: usuários acessaram alguns sites na rede da Cloudflare podem ter recebido algumas requisições de outros sites que estavam armazenados nos mesmos servidores.

Talvez isso não pareça tão grave. “Então um cabeçalho do site A acabou indo parar na resposta do site B, e daí?”. De fato, ao compararmos isso ao Heartbleed, por exemplo, que vazou uma série de chaves criptográficas, ou a várias outras violações e dados que acontecem todos os dias, o vazamento do Cloudflare parece benigno.

Porém, um HTTP POST (formulário de submissão) do seu e-mail e senha para um site na rede do Cloudflare também pode ser considerada uma requisição e pode ter vazado.

Google, Bing, Baidu e vários outros sites de busca que existem na internet também são “usuários” que fazem “requisições” a esses sites. A diferença é que eles mantêm essas informações por perto e mostram a todos que queiram ver. Apesar de os esforços serem grandes dentro dessa empresas para limpar seus caches de dados, é extremamente difícil entender onde eles estão.

As requisições de HTTP são agressivamente armazenadas na internet: desde seu ISP regional até os proxies corporativos no seu browser. Alguns desses dados vão ficar por aí por um bom tempo!

O que aconteceu com a Cloudflare foi um problema único de segurança para o qual não existe um procedimento padrão de como agir. Qualquer administrador de sistemas sabe como atualizar seu certificado TLS/SSL, por exemplo, para corrigir a vulnerabilidade do Heartbleed. No entanto, ninguém ainda desenvolveu um plano para um cenário desses, em que tudo o que passou por um site nos últimos 6 meses está acessível publicamente.

Há uma série de serviços que dependem do uso de chaves obscuras de API para sua segurança. Agora, de repente, cada uma dessas chaves precisam ser revogadas, pois o acesso a uma única chave permite obter os recursos do serviço.

O que você precisa checar no seu website?

Como dizer se seu site teve dados roubados:

1. Você estava usando o Cloudflare entre 9 de setembro de 2016 e 18 de fevereiro de 2017

2. Você estava usando as terminações HTTP/HTTPS do Cloudflare

O que você precisa checar como usuário?

É preciso considerar tudo que usa o Cloudflare como potencialmente comprometido. Pesquisadores de segurança estão compilando colaborativamente uma lista desses sites no Github (há uma série de sites brasileiros) – reveja, mude sua senha e altere qualquer chave de API dentro dos sites afetados.