Un bug de CloudFlare ha filtrado datos personales a la red, en uno de los peores casos de este tipo que se recuerdan.

Puede que no lo sepas, pero probablemente uses los servicios de CloudFlare; esta compañía ofrece servicios de CDN (content delivery network, red de entrega de contenidos), es decir, de la llamada “nube”.

CloudFlare, la maquinaria detrás de muchos de los servicios que usas

El método tradicional de pedir información y que un único servidor responda está pasado de moda; una solución menos costosa y más avanzada es crear una red de servidores que responda a las peticiones según la cantidad de usuarios que se conecta.

cdn

Además, CloudFlare también ofrece servicios de protección contra DDOS (ataques de denegación de contenido), protección DNS (servidor de nombres) y más; en el competido sector de la nube, CloudFlare es una de las principales alternativas. Por eso, a poco que uses servicios en la web probablemente hayas usado el servicio de CloudFlare sin darte cuenta; sitios como Uber, 1Password, FitBit, y OKCupid lo usan.

Y esto ahora es preocupante, porque la compañía ha confirmado que un error en sus servidores ha filtrado datos sin cifrar a usuarios aleatorios; el error ha sido descubierto por Tavis Ormandy, un miembro de Google Project Zero, un equipo de expertos de seguridad que investiga y analiza bugs y métodos de ataque.

En este caso, Ormandy inició la investigación porque había ocasiones en las que el navegador le mostraba páginas web corruptas, con errores; después de analizar los datos que CloudFlare enviaba a su navegador, descubrió que contenían información personal.

Un bug de CloudFlare suelta datos por Internet

Entre los datos recibidos había contraseñas, mensajes completos provenientes de sitios de citas, e información de reservas en sitios de hoteles. Sin hacer absolutamente nada, un usuario normal que se conectase a una web servida por CloudFlare tenía la posibilidad de recibir datos de otras personas.

La cantidad de datos privados compartida por este método es abrumadora, aunque no parecía haber ninguna regla; era como una retorcida lotería en la que podías recibir los datos de cualquier extraño.

cloudflare 2

El bug tiene relación con la memoria caché (buffer) de los servidores. Normalmente un servidor no escribe los datos que recibe directamente en la base de datos en el disco duro; el buffer hace de intermediario, y ahí se guardan todos los datos temporalmente, independientemente del servicio y el usuario al que pertenezcan.

Cuando esta memoria se llenaba completamente, “desbordaba”; y el servidor acababa soltando esos datos en las conexiones activas en ese momento. No se sabe con certeza la fecha en la que empezó todo, siendo el 22 de septiembre de 2016 la más probable; si que se sabe que una modificación en el código del 13 de febrero empeoró las cosas.

En ese momento, una de cada 3,300,300 peticiones HTTP resultaba en filtraciones de datos; no parece mucho, pero con la cantidad de páginas y servicios que usan CloudFlare, las filtraciones ocurrirían a menudo.

Qué sitios usan CloudFlare

Lo único bueno de todo esto es que las conexiones SSL no se vieron afectadas; así que si usas páginas con HTTPS, no te has visto afectado.

Lo malo es que no se sabe si este bug ha sido usado por atacantes; peor aún, los motores de búsqueda como Google han podido obtener y listar esta información. Por lo que tus mensajes, contraseñas o información puede estar accesible a una búsqueda de Google de distancia. Eso si, CloudFlare no ha encontrado pruebas de que esta información haya sido obtenida por atacantes.

cloudflare 1

Los ingenieros de CloudFlare han encontrado y deshabilitado las tres posibles partes que provocaban el desbordamiento de buffer; pero por si acaso, tal vez este sea un buen momento para ir cambiando de contraseña en tus sitios favoritos.

En concreto, en Github tienes una buena lista de sitios que usan CloudFlare; si tienes una cuenta en ellos, lo recomendable es cambiar la contraseña.