Cloudflare: uma falha que divulgou dados sensíveis de milhões de sites

Entre os clientes da Cloudflare estão empresas como a Uber, o OK Cupid, o FitBit, o Medium ou o Feedly. A informação divulgada compreendia palavras-chave, cookies e dados de autenticação.

Qualquer pessoa que se tenha apercebido do erro teve a oportunidade de conseguir aceder a informações pessoais dos utilizadores desses sites
Foto
Qualquer pessoa que se tenha apercebido do erro teve a oportunidade de conseguir aceder a informações pessoais dos utilizadores desses sites Reuters/PAWEL KOPCZYNSKI

A Cloudflare, empresa que está a cargo da protecção dos dados de quase cinco milhões de sites, anunciou, na passada quinta-feira, que detectou um bug no código que permitiu que dados sensíveis de milhares de utilizadores se tornassem públicos. Palavras-chave, cookies e dados de autenticação: tudo podia ser encontrados através de uma pesquisa num motor de busca. Entre os clientes da Cloudflare estão empresas como a Uber, o OK Cupid, o FitBit, o Medium ou o Feedly.

A Cloudflare anunciou, num post do seu blog, que um dos elementos da equipa de segurança do Google, Tavis Ormandy, tinha detectado um “problema de segurança”. Os servidores da Cloudflare estavam a devolver informação privada – o que não é suposto – “e alguma informação estava a ser guardada em cache [memória rápida] pelos motores de busca”, lê-se na publicação.

Esta divulgação de informação privada é um deslize para uma empresa que trata da segurança de mais de cinco milhões de sites. Qualquer pessoa que se tenha apercebido do erro teve a oportunidade de aceder a informações pessoais dos utilizadores desses sites. Dados que normalmente estão encriptados e são de difícil acesso. Para eliminar completamente as informações guardadas em cache, a Cloudflare teve de contactar todos os motores de busca, para que eliminassem a informação. Só depois fez o anúncio da falha.

A empresa revelou que entre Setembro de 2016 e 18 de Fevereiro de 2017 foram revelados dados pessoais como o conteúdo de pedidos da Uber, dados do FitBit e mensagens de sites de encontro. “Estou a encontrar mensagens privadas de grandes sites de encontro, mensagens completas de um serviço de chat bem conhecido, dados de gestão de passwords online, imagens de sites de vídeos para adultos e reservas em hotéis”, escreveu Tavis Ormandy, da equipa de segurança da Google, a 19 de Fevereiro, num blog do Project Zero, projecto de segurança do Google.

Ormandy disse que tinha encontrado os dados de forma inesperada e que percebeu que não devia estar a ver aquilo, uma vez que continha informação altamente sensível. “Esta situação é invulgar. [Informação pessoal identificável] estava a ser descarregada de maneira activa por utilizadores durante uma utilização normal, ainda que não compreendessem aquilo que estavam a ver”, escreveu.

A empresa afirma que não detectou nenhum uso maligno do bug por parte de hackers. A falha aconteceu durante a actualização do protocolo HTTP (menos seguro) para o HTTPS, uma garantia de que a ligação ao servidor é criptografada.

John Graham-Cumming, da Cloudflare, disse ao site TechCrunch que nem todas as informações que foram divulgadas eram secretas: “São coisas aleatórias porque se tratava de memória aleatória”.

Ryan Lackey, especialista em cibersegurança da Cloudflare, escreveu na sua página no Medium que, do ponto de vista do utilizador, a maneira mais eficaz de lidar com esta situação era mudar password nos sites afectados. “Pode nem ser necessário (é pouco provável que as vossas passwords tenham sido expostas neste incidente), mas pode vir a melhorar a segurança também noutras situações”, lê-se.