Hace justo una semana, se daba a conocer un fallo bastante grave en el CDN de Internet CloudFlare, conocido como Cloudbleed, por su similitud a Heartbleed, que, debido a un fallo de programación, bajo ciertas circunstancias, la plataforma enviaba a usuarios al azar información sobre las sesiones HTTPS de otros usuarios que navegaban por otras webs de dicho CDN, poniendo en riesgo la seguridad y privacidad de los usuarios.
Hace una semana no estaba claro si este fallo ha estado suponiendo un riesgo para los usuarios, aunque sí que es preocupante teniendo en cuenta que muchas plataformas con gran cantidad de datos sensibles sobre los usuarios, como, por ejemplo, Uber, 1Password, FitBit y OKCupid, plataformas con una gran cantidad de datos personales y bancarios de los usuarios, se alojan en la nube de CloudFlare. Cloudflare ha lanzado una programa para comprobar la seguridad de BGP.
La compañía, junto a Google Project Zero (los investigadores que han dado con este fallo de seguridad) han estado estudiando el impacto de esta vulnerabilidad y analizando la actividad de los servidores del CND con el fin de averiguar si el fallo podía haber sido explotado directamente para hacerse con información de los usuarios y, por suerte, parece que no ha sido así.
Además, CloudFlare también ha aprovechado la situación para facilitar más información técnica sobre su fallo. A parecer, el problema se encontraba en uno de los servidores más cercanos a los usuarios que contaba con permisos de depuración y, al devolver la información, lo hacía sin cifrar, mezclándose toda esta información en la caché de CloudFlare y enviándola así a otros usuarios que accedían al CDN.
Aunque este fallo de seguridad sí que ha estado enviando información aleatoria de las sesiones HTTPS a otros usuarios aleatorios, en realidad no ha ido más allá. Los registros de la plataforma demuestran que ningún pirata informático ha estado recopilando información de sesiones de otros usuarios y tampoco se han enviado datos bancarios, contraseñas o registros de salud a los demás usuarios, por lo que, a grandes rasgos, la seguridad y privacidad de ninguno de ellos se ha visto comprometida.
Por seguridad, nunca está de más un cambio de contraseña para evitar cualquier disgusto por Cloudbleed
Como decimos, tanto Google como CloudFlare aseguran que en ningún momento se han enviado datos sensibles de los usuarios por culpa de esta vulnerabilidad, sino que simplemente se ha compartido información aleatoria, irrelevante en prácticamente todas las filtraciones, sobre las sesiones HTTPS. Sin embargo, cuando hablamos de seguridad informática siempre es mejor prevenir.
Por ello, aunque en un principio no ha habido problema, debemos tener en cuenta que, desde septiembre, que fue cuando se introdujo el fallo en los servidores, hasta el mes pasado que fue detectado y rápidamente solucionado, se han estado poniendo en peligro cerca de un millón y medio de peticiones web, por lo que siempre es recomendable aprovechar la situación y cambiar las contraseñas de las páginas web más sensibles, como las que indicamos anteriormente, para evitar sorpresas inesperadas.
Google, Bing y Baidu, los 3 buscadores más grandes hoy en día, también han trabajado juntos para eliminar de sus resultados más de 80.000 resultados que habían indexado en sus respectivas cachés con información en las cabeceras sobre las sesiones de otros usuarios por culpa de este fallo.
¿Qué opinas sobre CloudBleed, el fallo de CloudFlare? ¿Es tan grave como nos hacen pensar?