Cloudflare lekte maandenlang gebruikersdata via HTTPS-sessies

Abonneer je gratis op Techzine!

Een beveiligingsonderzoeker van Google’s Project Zero, Tavis Ormandy, was degene die als eerste aan de bel trok bij Cloudflare toen hij zag dat de Edge-servers van het bedrijf gevoelige gegevens aan het lekken waren. Niet alle HTTP-verzoeken leverde gevoelige informatie op, maar wel een flink percentage.

Het probleem bleek te zitten in de manier waarop Cloudflare gegevens opslaat in de cache en vervolgens vanuit de cache uitserveert. Sommige Cloudflare Edge-servers serveerde data uit die langer was dan de originele cachefile, waardoor ook gegevens uit andere cachess werden meegestuurd. Aangezien elk HTTP-verzoek begint met headers waarin cruciale informatie is opgeslagen zoals cookies en POST-data, kwamen daarin ook gevoelige gegevens voor.

Volgens Ormandy stuitte hij op allerlei soorten informatie: “Ik zie priveberichten van grote datingsites, volledige berichten van een bekende chatdienst, data van een online password manager, frames van een adult video website, hotel boekingen. We hebben het over volledige HTTPS-verzoeken, inclusief IP-adressen, volledige antwoorden, cookies, wachtwoorden, sleutels, data, alles”.

De meldingen van Ormandy zijn direct zeer serieus genomen door Cloudflare en het bedrijf kon al vrij snel de oorzaak van het probleem vinden en oplossen. De oplossing van Cloudflare is op dit moment door drie features van de aangeboden diensten uit te schakelen, namelijk E-mail obfuscation, Server-side excludes en Automatic HTTPS Rewrites. Daarin wordt waarschijnlijk een stukje code gebruikt die zorgt voor de problemen.

De Google-onderzoeker zegt in een reactie niet door te hebben gehad hoeveel websites gebruik maken van het Cloudflare CDN, en hoeveel websites daardoor gevoelige waren voor datalekken. Cloudflare had aangegeven dat het zelf op woensdag zijn gebruikers zou inlichten over de problemen, maar toen dat op donderdag nog niet was gebeurd en de zeven dagen termijn van Project Zero afliep besloot Ormandy om het zelf naar buiten te brengen. Inmiddels heeft Cloudflare wel een blog geplaatst met meer uitleg.