Una de las plataformas más utilizadas actualmente para agregarle seguridad a las páginas web es Cloudflare, sin embargo el gigante tecnológico está en el ojo del huracán por la filtración de millones de contraseñas y datos sensibles de usuarios registrados en las páginas web que utilizan este servicio.
El pasado 18 de febrero, Tavis Ormandy, trabajador de la iniciativa de seguridad Project Zero de Google, descubrió este alarmante bug, que ha estado filtrando información desde septiembre del año pasado. Lo más preocupante es que algunas de las contraseñas han sido indexadas por algunos motores de búsqueda.
Cloudflare admite que se han filtrado contraseñas, IPs y cookies de sesiones HTTPS
En un post en su blog, la compañía admite el grave error y explica las causas del problema, que estuvo activo durante meses, sin que nadie se diera cuenta. «El error ha sido grave porque la memoria filtrada podía contener información privada y porque había sido almacenada en caché por los motores de búsqueda».
«Estamos revelando este problema ahora, ya que los cachés de los motores de búsqueda han eliminado la información sensible. Tampoco hemos descubierto ninguna evidencia de explotaciones maliciosas del bug u otros informes de su existencia, afirmó John Graham-Cumming, CTO de la empresa.
Esto fue lo que sucedió
Según lo revelado por Google y por Cloudflare, la filtración fue debida a un bug en una cadena analizadora de HTML que Cloudflare utiliza para modificar páginas Web a medida que estas pasan a través de sus servidores. Esto se tradujo en un error que tuvo su mayor auge la semana pasada.
El informe afirma que entre el 13 y el 18 de febrero, una de cada 3.300.000 solicitudes HTTP provocaron filtraciones de memoria. Algunas de las páginas más importantes afectadas fueron Uber, OkCupid y 1Password. Se recomienda a los usuarios que cambien sus contraseñas por seguridad.