CloudFlare, un servizio di content delivery molto utilizzato per l’ottimizzazione delle performance e la prevenzione degli attacchi a siti e servizi web (già!), era affetto da un bug nel proprio codice sorgente che ha esposto i dati degli utenti. A causa di questo problema, nel corso degli scorsi mesi i dati di tutti gli utenti dei predetti servizi sono stati memorizzati in chiaro nella cache dei principali motori di ricerca.
ArsTechinca (via 9to5Mac), infatti, ha riportato che è stato proprio un ricercatore del reparto sicurezza di Google ad accorgersi della falla e ad avvertire CloudFlare di correre immediatamente ai ripari, visto che le password, i cookie, le chiavi di crittografia e persino le richieste HTTPS degli utenti dei siti e servizi web che sfruttano il CDN sono tutt’ora ben visibili nella cache del motore di ricerca.
Tra i servizi più famosi coinvolti ci sono OKCupid (non molto usato in Italia), Fitbit, Uber e 1Password. Quest’ultimo assicura i propri utenti che, poiché usa tre diversi livelli di sicurezza, fra cui la crittografia end-to-end, non vi sono pericoli e, quindi, non c’è motivo di cambiare la master password. L’app per il carpooling, invece, ha dichiarato che solo una minima parte del proprio traffico passa da CloudFlare.
Dal canto suo, l’azienda ha dichiarato sul proprio blog di non aver mai ricevuto altre segnalazioni relative al bug prima d’ora e che nessuno ha sfruttato l’exploit per compiere atti ben più gravi. Ovviamente, questo non significa che è possibile dormire sonni tranquilli, a meno che non si è abilitata l’autenticazione a due fattori o quella a due passaggi per gli account dei servizi che le supportano (come Google, Facebook, PayPal, ecc…).
Su Github è presente una lunga lista di siti web che possono essere stati coinvolti nei leak dei dati. Ad ogni modo è bene precisare che tale elenco risulta esorbitante in quanto indica tutti i siti che utilizzano anche il servizio CloudFlare DNS, non affetto dal bug che ha causato il leak dei dati.