Una falla di sicurezza di CloudFlare ha esposto in chiaro i dati degli utenti di 3400 siti

Leggi questo articolo grazie alle donazioni di Fabrizio Milanello, Maurizio Martinetti.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

CloudFlare, un servizio di content delivery molto utilizzato per l'ottimizzazione delle performance e la prevenzione degli attacchi a siti e servizi web (già!), era affetto da un bug nel proprio codice sorgente che ha esposto i dati degli utenti. A causa di questo problema, nel corso degli scorsi mesi i dati di tutti gli utenti dei predetti servizi sono stati memorizzati in chiaro nella cache dei principali motori di ricerca.

ArsTechinca (via 9to5Mac), infatti, ha riportato che è stato proprio un ricercatore del reparto sicurezza di Google ad accorgersi della falla e ad avvertire CloudFlare di correre immediatamente ai ripari, visto che le password, i cookie, le chiavi di crittografia e persino le richieste HTTPS degli utenti dei siti e servizi web che sfruttano il CDN sono tutt'ora ben visibili nella cache del motore di ricerca.

Tra i servizi più famosi coinvolti ci sono OKCupid (non molto usato in Italia), Fitbit, Uber e 1Password. Quest'ultimo assicura i propri utenti che, poiché usa tre diversi livelli di sicurezza, fra cui la crittografia end-to-end, non vi sono pericoli e, quindi, non c'è motivo di cambiare la master password. L'app per il carpooling, invece, ha dichiarato che solo una minima parte del proprio traffico passa da CloudFlare.

Dal canto suo, l'azienda ha dichiarato sul proprio blog di non aver mai ricevuto altre segnalazioni relative al bug prima d'ora e che nessuno ha sfruttato l'exploit per compiere atti ben più gravi. Ovviamente, questo non significa che è possibile dormire sonni tranquilli, a meno che non si è abilitata l'autenticazione a due fattori o quella a due passaggi per gli account dei servizi che le supportano (come Google, Facebook, PayPal, ecc...).

Su Github è presente una lunga lista di siti web che possono essere stati coinvolti nei leak dei dati. Ad ogni modo è bene precisare che tale elenco risulta esorbitante in quanto indica tutti i siti che utilizzano anche il servizio CloudFlare DNS, non affetto dal bug che ha causato il leak dei dati.

Elio Franco

Editor - Sono un avvocato esperto in diritto delle nuove tecnologie, codice dell'amministrazione digitale, privacy e sicurezza informatica. Mi piace esplorare i nuovi rami del diritto che nascono in seguito all'evoluzione tecnologica. Patito di videogiochi, ne ho una pila ancora da finire per mancanza di tempo.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.