Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Jetzt auch „Cloudbleed“: Cloudflare-Nutzerdaten im Netz veröffentlicht

Cloudflare ist ein riesiger Internetanbieter für Hosting- und Infrastrukturleistungen (5,5 Millionen Websites). Höchst wahrscheinlich nimmt jeder von uns täglich Cloudflare-Dienste in Anspruch, ohne es überhaupt zu bemerken. Je nachdem, welche Statistiken...
Michael Buckbee
2 minute gelesen
Veröffentlicht 5. Mai 2017
Letzte aktualisierung 29. Oktober 2021

Cloudflare ist ein riesiger Internetanbieter für Hosting- und Infrastrukturleistungen (5,5 Millionen Websites). Höchst wahrscheinlich nimmt jeder von uns täglich Cloudflare-Dienste in Anspruch, ohne es überhaupt zu bemerken. Je nachdem, welche Statistiken man zurate zieht, nutzen bis zu 25 Prozent der Alexa-Top-10.000-Websites Cloudflare für einen Teil ihrer öffentlich zugänglichen Infrastruktur.

Cloudflare-Dienste

Das Angebot lässt sich grob in zwei Bereiche unterteilen:

  1. extrem schnelle und verteilte DNS-Dienste
  2. DDoS-Schutz (und einige damit zusammenhängende Sicherheitsfunktionen zum Umschreiben von Webseiten während der Übertragung, was vor Datenextraktion und anderen schädlichen Aktivitäten schützen soll

Die jüngst von Cloudflare bekannt gegebene gigantische Sicherheitslücke bezieht sich auf den zweiten Punkt. Durch Bugs innerhalb einiger Funktionen zum Umschreiben des HTML-Codes wurden mehr Daten übermittelt als vorgesehen.

Cloudflare-Sicherheitslücken

Was war passiert? Kurz gesagt: Nutzer, die Websites aus dem Cloudflare-Netzwerk aufgerufen haben (z. B. Website A), könnten auch Antworten auf Anforderungen anderer Websites erhalten haben (Website B, Website C usw.), wenn sie auf demselben Caching-Server gespeichert waren.

Das klingt erst Mal nicht gut, aber auch nicht übermäßig dramatisch, mögen viele denken. Was ist schon dabei, wenn ein Teil der Überschrift von Website B auf Website A gelandet ist? Im Vergleich zu Heartbleed und ähnlichen Angriffen (bei denen private Schlüssel veröffentlicht wurden) oder den Datendiebstählen, die sich jede Woche ereignen, hört sich das fast harmlos an.

„Anforderung“, so lautet der Fachbegriff für die Interaktion mit einem HTTP-Server. Man ist versucht, sich einfach nur zwei durcheinandergewürfelte Webseiten vorzustellen – ungünstig, aber keine Katastrophe. Doch unter diesen Oberbegriff fallen auch HTTP-POST-Anforderungen (zur Formularübermittlung), mit denen beispielsweise Ihre E-Mail-Adresse und Ihr Passwort für Websites im Cloudflare-Netzwerk abgefragt werden. Auf diese Weise wurden möglicherweise auch Ihre Anmeldeinformationen veröffentlicht.

Google, Bing, Baidu und all die anderen Suchmaschinen sind ebenfalls „Nutzer“, die „Anforderungen“ an diese Websites senden. Der Unterschied besteht darin, dass sie die Daten speichern und jedem zeigen, der sie anfordert. Zwar bemühen sich die betroffenen Unternehmen nach Kräften, diese Daten endgültig aus dem Cache zu löschen, doch jetzt sind an die Öffentlichkeit gelangt, und es lässt sich schwer sagen, wo im Einzelnen sie gespeichert worden sind.

HTTP-Anforderungen werden im Internet weltweit nach allen Regeln der Kunst zwischengespeichert. Durch regionale Internetdienstanbieter genauso wie von Unternehmens-Proxys und Browsern. Man kann also getrost davon ausgehen, dass ein Teil der betroffenen Daten für ziemlich lange Zeit irgendwo herumschwirrt.

Wir haben es hier mit einem einzigartigen Sicherheitsproblem zu tun. Um es zu lösen existiert kein Standardverfahren. Jeder Systemadministrator weiß, wie man ein TLS-/SSL-Zertifikat aktualisiert (und dadurch zum Beispiel den Heartbleed-Bug behebt). Um aber herauszufinden, welche Daten überhaupt gefährdet gewesen sind, muss man mit Webentwicklern sprechen, Tests durchführen und Szenarien erwägen, die bis vor Kurzem noch praktisch undenkbar waren.

Bisher hat niemand einen Krisenplan ausgearbeitet, bei dem er vorsichtshalber von der Annahme ausgegangen ist, dass alle in den letzten sechs Monaten über seine Website übermittelten Daten veröffentlicht worden sind.

Viele Dienste nutzen aus Sicherheitsgründen maskierte API-Schlüssel. Jetzt muss plötzlich jeder dieser Schlüssel erneuert werden, da mit dem API-Schlüssel jeder auf die Funktionen des Diensts zugreifen könnte. Ähnlich verhält es sich mit OAuth, das unter normalen Umständen für mehr Sicherheit sorgt: Durch den Bug gelangen aber Zugriffs- und Aktualisierungstoken an die Öffentlichkeit, ein Albtraum für den Support.

Was Website-Betreiber prüfen sollten

So stellen Sie fest, ob Daten Ihrer Website veröffentlicht worden sind:

  1. Sie haben zwischen dem 9. September 2016 und dem 18. Februar 2017 Cloudflare genutzt.
  2. Sie haben Cloudflare als HTTP-/HTTPS-Proxy verwendet (und nicht nur den DNS-Dienst genutzt).

Was Privatpersonen prüfen sollten

Privatpersonen sollten davon ausgehen, dass potenziell alle Websites, die Cloudflare nutzen, betroffen sind.

Derzeit stellen Sicherheitsexperten unter https://github.com/pirate/sites-using-cloudflare eine Liste der betroffenen Websites zusammen. Werfen Sie einen Blick darauf und ändern Sie die betreffenden Passwörter sowie sämtliche API-Schlüssel, die Sie für die betroffenen Websites nutzen. Nach und nach werden wahrscheinlich auch die Website-Betreiber Sicherheitshinweise veröffentlichen.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?