Internetdienstleister Cloudflare Software-Fehler macht private Nutzerdaten öffentlich

Passwörter, Hotelbuchungen und Chats auf Dating-Webseiten: Durch ein Datenleck bei dem Internetdienstleister Cloudflare wurden persönliche Informationen von Webnutzern veröffentlicht.

Datenkabel an einem Server
AP

Datenkabel an einem Server


Eigentlich sollte die Firma das Internet sicherer machen, doch durch eine schwere Sicherheitslücke beim Dienstleister Cloudflare waren geheime Daten über Monate im Netz öffentlich zugänglich. Cloudflare-Kunden betreiben mehr als fünf Millionen Webseiten. Betroffen sind von dem Fehler deren Nutzer - unter anderem Kunden von Uber, Fitbit, 1Password und dem Dating-Portal OKCupid.

Ein Fehler in der Serversoftware des Dienstleisters führte dazu, dass von dem Unternehmen betreute Webseiten auf Anfrage den Speicherinhalt anderer Seiten mitschickten. Die sensiblen Daten konnten auch private Informationen von Nutzern beinhalten, teilte der Webdienstleister in einem Blogeintrag mit.

Zu den Daten gehörten unter anderem Cookies und Token zur Authentifizierung. Nach Angaben von Cloudflare gibt es allerdings keine Anzeichen dafür, dass die Datenlücke ausgenutzt wurde.

Zu den Dienstleistungen des US-Unternehmens Cloudflare gehört es unter anderem, Weblinks vom http://-Format in das verschlüsselte https://-Format umzuwandeln. Außerdem bietet das Unternehmen Schutz vor sogenannten DDoS-Attacken an, mit denen Webseiten durch massenhafte Anfragen lahmgelegt werden können. Zu den Nutzern gehörte unter anderem die Hackergruppe LulzSec. Aber auch viele namhafte Unternehmen lassen sich von dem Dienst schützen.

Passwörter und Chats entdeckt

Aufgefallen war das Leck einem Sicherheitsexperten von Google. Er entdeckte unter anderem öffentlich zugängliche Passwörter, Nachrichten von Dating-Seiten und Hotelbuchungen und informierte Cloudflare. Der Dienstleister fand schließlich einen Programmierfehler in einem Dienst, der Webseiten vor der Auslieferung vom Betreiber an das Internet bearbeitet, um beispielsweise Links umzuwandeln oder Klartext-E-Mail-Adressen zu entfernen.

Offenbar bestand die Sicherheitslücke bereits seit September vergangenen Jahres. Besonders viele Daten sollen in der Zeit vom 13. bis zum 18. Februar abgeflossen sein. Cloudflare teilte am Donnerstag mit, dass die Sicherheitslücke nach Bekanntwerden innerhalb weniger Stunden geschlossen wurde.

Allerdings wurden die betroffenen Seiten von anderen Diensten zwischengespeichert und indiziert, beispielsweise Suchmaschinen wie Google, Bing oder Yahoo. Cloudflare habe mit den Betreibern von Suchmaschinen zusammengearbeitet, um die zwischengespeicherten Anfragen zu löschen, teilte das Unternehmen weiter mit. Dennoch ist es möglich, dass noch immer private Informationen öffentlich im Netz zugänglich sind.

brt



insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
oil-peak-fan 24.02.2017
1. Vom Winde verweht.
Wer Cloud-Diensten vertraut, dem ist kaum zu helfen.
shloma 24.02.2017
2. Das ist eine der gefährlichsten Meldungen des Jahres
Und kaum einer kapiert es. Ich habe schon eine E-Mail erhalten, dass ich mein onlinebanking Passwort ändern sollte. Die Liste der betroffenen Unternehmen ist 22MB groß auf Github. WOW. Kann mir jemand sagen wie die Anti-DDOS Seite Cloudfare alle Passwörter hat? Funktioniert das so Trojaner-Style, das die Passwort-Eingabe auf der Cloudfare-Seite erfolgt und diese dann heimlich die Passwörter aller user abspeicher ohne dass diese das merken? Das ist der totale Wahnsinn!! 2017 ist für mich der Wendepunkt - computeraffin und Internetnutzer der ersten Stunde hin oder her, wir haben das so nicht mehr im Griff, es wird Zeit wieder offline zu leben....
CyberCyberCyber 24.02.2017
3.
Zitat von shlomaUnd kaum einer kapiert es. Ich habe schon eine E-Mail erhalten, dass ich mein onlinebanking Passwort ändern sollte. Die Liste der betroffenen Unternehmen ist 22MB groß auf Github. WOW. Kann mir jemand sagen wie die Anti-DDOS Seite Cloudfare alle Passwörter hat? Funktioniert das so Trojaner-Style, das die Passwort-Eingabe auf der Cloudfare-Seite erfolgt und diese dann heimlich die Passwörter aller user abspeicher ohne dass diese das merken? Das ist der totale Wahnsinn!! 2017 ist für mich der Wendepunkt - computeraffin und Internetnutzer der ersten Stunde hin oder her, wir haben das so nicht mehr im Griff, es wird Zeit wieder offline zu leben....
Ne, die leiten halt einfach alle Anfragen (und modifizieren diese ggf.) über ihre Server weiter, dafür muss die Anfrage natürlich irgendwo im Speicher stehen und der wird hier geleakt. Dass da Passwörter drin stehn kann natürlich vorkommen wenn die Anfrage ein Login oder ne Registrierung ist... Cloudflare macht übrigens ein komplettes TLS man-in-the-middle für ihre Kunden, das heißt der gesamte Traffic von und zu Kundenservern ist für cloudflare im prinzip lesbar.
accolon82 24.02.2017
4.
Cloudflare ist primär Betreiber eines Content Delivery Networks mit zumietbaren Sicherheitsfunktionen. Da die Firma somit in der Konsequenz das Hosting übernimmt, hat sie (wie jeder andere Hoster auch) natürlich theoretisch Zugriff auf die Daten der Kunden. Wenn man nicht gerade wie z.B. Amazon ein eigenes CDN betreibt, trifft das eben auf alle Kunden zu. Warum #2 das für "Wahnsinn" hält, ist mir schleierhaft -- es ist die Normalität. Die wenigsten Unternehmen stellen sich ein eigenes Rechenzentrum hin. Und warum #1 hier gegen Cloud-Dienste schießt, verstehe ich auch nicht -- wo sollen die Dienste denn sonst laufen? Bei den Benutzern im Keller?
Hinrich7 24.02.2017
5. die selbstverliebten Politiker
haben ja ihre Liebe zum digitalen Wahn entdeckt. Kaum einer durchblickt diese Strukturen weil die dahinter liegenden mathematischen Modelle zwar theoretisch funktionieren, nur in der Praxis haben wir es immer noch mit einer Materiebasis zu tun. Geringste Abweichungen in den mathematischen Modellen, als auch bei den grundlegenden Strukturen z. B. Festplatten können zu gigantischen Fehlern führen, Informatiker belächeln die bodenlose Naivität mit der sich die Bürger aufs Glatteis führen lassen. Insofern ist kaum jemand zu bedauern wenn man einer cloud vertraut.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.