CloudBleed, filtración de información en servicios de CloudFlare

Cloud Bleed

Un severo fallo de seguridad fue descubierto en los servicios ofrecidos por CloudFlare, el fallo en cuestión ha ocasionado que un gran número de sitios web de renombre filtraran datos privados en Internet. Entre los datos filtrados se cuentan: cookies HTTP, tokens de autenticación, cuerpos de peticiones HTTP POST, contraseñas, datos personales y otros, además, estos datos filtrados pueden haber sido cacheados por algunos motores de búsqueda, lo que hace que estén disponibles en Internet aún después de haber sido corregido el problema.

El origen de la vulnerabilidad se encuentra en un bug del código que usa CloudFlare para analizar y modificar de forma dinámica las páginas HTML antes de entregarlas a los clientes, lo que ocasionaba un desbordamiento de buffer y el filtrado de memoria, y permitía que fragmentos aleatorios de datos de otras páginas servidas por CloudFlare se incluyeran en las respuestas HTML que entregaba el servicio (más información).

CloudFlare asegura que las llaves privadas de los certificados SSL de sus clientes no fueron filtradas y que el fallo ha sido corregido, además dicen no tener evidencia de que esta vulnerabilidad haya sido explotada de forma activa, pero, teniendo en cuenta que las primeras filtraciones de información tuvieron lugar en septiembre de 2016, podemos asumir con certeza que una gran cantidad de datos privados fueron filtrados a Internet.

Es imposible determinar con certeza que sitios fueron afectados, pero, teniendo en cuenta la gran cantidad de sitios servidos por CloudFlare, recomendamos cambiar las contraseñas de todas tus cuentas y habilitar la autenticación en dos pasos cuando sea posible, pues, independientemente de si tu sitio web usa los servicios de CloudFlare, es muy probable que hayas visitado algún sitio web que sí lo hace, y este sitio podría haber filtrado tus datos.

Entre los sitios servidos por CloudFlare se cuentan los siguientes:

  • 4chan.org
  • authy.com
  • change.org
  • crunchyroll.com
  • discordapp.com
  • feedly.com
  • hardsextube.com
  • medium.com
  • nationalreview.com
  • pastebin.com
  • patreon.com
  • petapixel.com
  • putlocker.ws
  • puu.sh
  • thepiratebay.org
  • tineye.com
  • uber.com
  • yelp.com
  • zendesk.com

Y tu, ¿cuánto hacía que no cambiabas tus contraseñas?

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo, o darle like a nuestra Facebook Page. Para conocer nuestros planes de hosting ingresa hosting.smartbox.host.

No olvides comentar ?

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *