Jetzt auch „Cloudbleed“: Cloudflare-Nutzerdaten im Netz veröffentlicht

Cloudflare ist ein riesiger Internetanbieter für Hosting- und Infrastrukturleistungen (5,5 Millionen Websites). Höchst wahrscheinlich nimmt jeder von uns täglich Cloudflare-Dienste in Anspruch, ohne es überhaupt zu bemerken. Je nachdem, welche Statistiken man zurate zieht, nutzen bis zu 25 Prozent der Alexa-Top-10.000-Websites Cloudflare für einen Teil ihrer öffentlich zugänglichen Infrastruktur.

Cloudflare-Dienste

Das Angebot lässt sich grob in zwei Bereiche unterteilen:

  1. extrem schnelle und verteilte DNS-Dienste
  2. DDoS-Schutz (und einige damit zusammenhängende Sicherheitsfunktionen zum Umschreiben von Webseiten während der Übertragung, was vor Datenextraktion und anderen schädlichen Aktivitäten schützen soll

Die jüngst von Cloudflare bekannt gegebene gigantische Sicherheitslücke bezieht sich auf den zweiten Punkt. Durch Bugs innerhalb einiger Funktionen zum Umschreiben des HTML-Codes wurden mehr Daten übermittelt als vorgesehen.

Cloudflare-Sicherheitslücken

Was war passiert? Kurz gesagt: Nutzer, die Websites aus dem Cloudflare-Netzwerk aufgerufen haben (z. B. Website A), könnten auch Antworten auf Anforderungen anderer Websites erhalten haben (Website B, Website C usw.), wenn sie auf demselben Caching-Server gespeichert waren.

Das klingt erst Mal nicht gut, aber auch nicht übermäßig dramatisch, mögen viele denken. Was ist schon dabei, wenn ein Teil der Überschrift von Website B auf Website A gelandet ist? Im Vergleich zu Heartbleed und ähnlichen Angriffen (bei denen private Schlüssel veröffentlicht wurden) oder den Datendiebstählen, die sich jede Woche ereignen, hört sich das fast harmlos an.

„Anforderung“, so lautet der Fachbegriff für die Interaktion mit einem HTTP-Server. Man ist versucht, sich einfach nur zwei durcheinandergewürfelte Webseiten vorzustellen – ungünstig, aber keine Katastrophe. Doch unter diesen Oberbegriff fallen auch HTTP-POST-Anforderungen (zur Formularübermittlung), mit denen beispielsweise Ihre E-Mail-Adresse und Ihr Passwort für Websites im Cloudflare-Netzwerk abgefragt werden. Auf diese Weise wurden möglicherweise auch Ihre Anmeldeinformationen veröffentlicht.

Google, Bing, Baidu und all die anderen Suchmaschinen sind ebenfalls „Nutzer“, die „Anforderungen“ an diese Websites senden. Der Unterschied besteht darin, dass sie die Daten speichern und jedem zeigen, der sie anfordert. Zwar bemühen sich die betroffenen Unternehmen nach Kräften, diese Daten endgültig aus dem Cache zu löschen, doch jetzt sind an die Öffentlichkeit gelangt, und es lässt sich schwer sagen, wo im Einzelnen sie gespeichert worden sind.

HTTP-Anforderungen werden im Internet weltweit nach allen Regeln der Kunst zwischengespeichert. Durch regionale Internetdienstanbieter genauso wie von Unternehmens-Proxys und Browsern. Man kann also getrost davon ausgehen, dass ein Teil der betroffenen Daten für ziemlich lange Zeit irgendwo herumschwirrt.

Wir haben es hier mit einem einzigartigen Sicherheitsproblem zu tun. Um es zu lösen existiert kein Standardverfahren. Jeder Systemadministrator weiß, wie man ein TLS-/SSL-Zertifikat aktualisiert (und dadurch zum Beispiel den Heartbleed-Bug behebt). Um aber herauszufinden, welche Daten überhaupt gefährdet gewesen sind, muss man mit Webentwicklern sprechen, Tests durchführen und Szenarien erwägen, die bis vor Kurzem noch praktisch undenkbar waren.

Bisher hat niemand einen Krisenplan ausgearbeitet, bei dem er vorsichtshalber von der Annahme ausgegangen ist, dass alle in den letzten sechs Monaten über seine Website übermittelten Daten veröffentlicht worden sind.

Viele Dienste nutzen aus Sicherheitsgründen maskierte API-Schlüssel. Jetzt muss plötzlich jeder dieser Schlüssel erneuert werden, da mit dem API-Schlüssel jeder auf die Funktionen des Diensts zugreifen könnte. Ähnlich verhält es sich mit OAuth, das unter normalen Umständen für mehr Sicherheit sorgt: Durch den Bug gelangen aber Zugriffs- und Aktualisierungstoken an die Öffentlichkeit, ein Albtraum für den Support.

Was Website-Betreiber prüfen sollten

So stellen Sie fest, ob Daten Ihrer Website veröffentlicht worden sind:

  1. Sie haben zwischen dem 9. September 2016 und dem 18. Februar 2017 Cloudflare genutzt.
  2. Sie haben Cloudflare als HTTP-/HTTPS-Proxy verwendet (und nicht nur den DNS-Dienst genutzt).

Was Privatpersonen prüfen sollten

Privatpersonen sollten davon ausgehen, dass potenziell alle Websites, die Cloudflare nutzen, betroffen sind.

Derzeit stellen Sicherheitsexperten unter https://github.com/pirate/sites-using-cloudflare eine Liste der betroffenen Websites zusammen. Werfen Sie einen Blick darauf und ändern Sie die betreffenden Passwörter sowie sämtliche API-Schlüssel, die Sie für die betroffenen Websites nutzen. Nach und nach werden wahrscheinlich auch die Website-Betreiber Sicherheitshinweise veröffentlichen.