Google, Uber, ninguém estava tão seguro: a Cloudflare vazou!

Pense em tudo o que você fez nos últimos 5 meses na Internet: fotos, dados, senhas… uma infinidade de coisas que você provavelmente protegeria a sete chaves certo? Talvez não.

Se você confiou que suas informações estavam protegidas pelo famoso “https” (Hyper Text Transfer Protocol Secure – protocolo de transferência de hipertexto seguro), você estava muito enganado.

Tavis Ormandy é pesquisador de vulnerabilidades do Google Project Zero e identificou a maior falha de vazamento de dados privados da história, apelidada como “Cloud bleed” (vazamento na nuvem, em tradução livre). A falha nos bancos de dados deixou vulnerável por cinco meses os dados de bilhões de usuários.

“Estou encontrando mensagens privadas de grandes sites de encontro, mensagens completas de um serviço de chat bem conhecido, dados de gestão de passwords online, imagens de sites de vídeos para adultos e reservas em hotéis” -Tavis Ormandy

Segundo A observação feita por Ormandy, senhas de cartões, mensagens íntimas entre namorados, bate-papos, reservas de companhias aéreas etc. uma infinidade de informações ficaram disponíveis por quase um semestre.

O “cloud bleed” afetou milhares de sites. Segundo a estimativa inicial feita pela Cloudflare, mais de 3.400 sites foram afetados, entre eles, gigantes como Google, Uber, Fitbit, OKCpid, Nasdaq e Microsoft. A Cloudflare, no entanto, notificou apenas os buscadores (como Google, Bing e Baidu) para manter os protocolos de segurança que envolviam a situação.

O que aconteceu com a Cloudflare:

Cloudflare é uma companhia dos Estados Unidos que trabalha com uma rede de fornecimentos de entrega de conteúdos, servindo como intermediária entre o visitante e o provedor, ou seja, você e o banco, por exemplo. Ao entrar no site da Bolsa Nasdaq por exemplo, você não está acessando diretamente o servidor da Nasdaq, mas sim o da Cloudflare que é a intermediária.

Nesse caminho, existe um sistema de otimização de segurança e desempenho. O processo faz uma conversão do link entre HTTP para HTTPS, reduz o tamanho do HTML e também do JavaScript, e protege o site contra ataques.

O problema acontece pela forma de funcionamento do próprio Cloudflare. São três recursos principais:

  • Automatic HTTPS Rewrites (responsável por reescrever com segurança links para recursos não criptografados de HTTP para HTTPS)
  • Server Side Excludes (transforma dados visíveis aos visitantes desejáveis em dados invisíveis para os indesejados)
  • E-mail Address Obfuscation (disfarça os endereços de e-mail para evitar ataques de spams).

Quando os três serviços são ativados, cookies e dados que são enviados por meio de formulários são vazados no código-fonte de outras páginas que usam os serviços do Cloudflare.

cloudflare date

Imagem por: Maximillian Rizzo

Desde 22 de setembro de 2016 a falha já acontecia. O período mais conturbado, segundo a Cloudflare, foi durante os dias 13 e 18 de Fevereiro, pois a cada 3,3 milhões de requisições, 1 poderia resultar em vazamento de dados.

A proporção de 1 para 3,3 milhões, pode parecer minúscula, mas imagine isso em um portal que recebe bilhões de acessos por dia! É uma parcela bem considerável no vazamento de dados.

Qual foi o estrago causado pelo Cloud bleed:

Inicialmente não há informações sobre hackers que tenham se beneficiado com a falha de segurança nos dados, porém o Google se posicionou mostrando a facilidade em conseguir informações privadas.

O próprio engenheiro do Google afirmou que conseguiu coletar senhas, nomes de usuários e ainda várias outras informações privadas nos mecanismos de pesquisa. O que sugere que o vazamento de dados pode ter tido consequências sérias que ainda não vieram à tona.

Para se ter uma noção do acontecimento, vamos mostrar a proporção das empresas envolvidas. Essa imagem do site oficial da Cloudflare mostra os principais parceiros que sofreram com o vazamento de dados “Cloud bleed”:
clordflare cloud bleed

Os parceiros são gigantes do mundo financeiro, interação social e software. Entre os vazamentos mais preocupantes estão: a Bolsa Nasdaq e bancos como Montecito, com informações sobre as contas e transações de países inteiros; e companhias como Google e Baidu, com montanhas de dados estruturados sobre bilhões de usuários.

Imagine se invasores pudessem ver as chaves de segurança de transações milhonárias de bitcoins ou sobre o tesouro de países?

Dependendo das ações feitas com dados roubados, países inteiros sofreriam um colapso na economia. Mas felizmente, nada com essa proporção aconteceu até o momento, ou não foi descoberto e relacionado ao “Cloud bleed”.

A empresa chegou a afirmar que não detectou nenhum uso maldosa do bug por parte de hackers com más intenções. A falha que tornou possível o vazamento ocorreu durante a atualização do protocolo HTTP para o HTTPS.

John Graham-Cumming, da Cloudflare, em nota ao TechCrunch, disse que nem todas as informações divulgadas eram secretas: “São coisas aleatórias porque se tratava de memória aleatória”. Ryan Lackey, especialista em cibersegurança da Cloudflare, chegou a comentar que era improvável que as senhas fossem descobertas, já que os dados eram aleatórios, mas que aconselhava a troca de senhas dos sites para uma maior segurança.

 

Se ainda está complicado entender o que aconteceu, vamos fazer uma analogia:

Imagine que você foi a um restaurante em seu carro, saiu do veículo e deixou a porta destrancada. Durante a noite, ninguém mexeu no carro, porém você teria levado um susto ao voltar para ele e perceber que tinha esquecido de trancá-lo.

Qualquer assaltante que forçasse a maçaneta poderia entrar e se aproveitar do seu descuido, mas se nenhum assaltante tentasse abrir, ninguém descobriria que a porta ficou aberta.

Assim foi com a Cloudflare que “deixou a porta aberta” por cinco meses. Será que alguém se aproveitou do descuido? Ou por sorte eles trancaram a porta a tempo?