Milano – Per qualche giorno i dati in transito dentro la CDN di Cloudflare, il Content Delivery Network che mette al sicuro i dati all’interno del suo perimetro, sono stati esposti ad occhi indiscreti: l’ha scoperto Tavis Ormandy di Google Project Zero , ha avvisato l’azienda e quest’ultima ha provveduto a chiudere la falla. Per fortuna di Cloudflare, e dei suoi clienti, nessuno pare si sia accorto della questione prima della divulgazione pubblica . Ma sarebbe potuto essere un problema molto serio, vista la natura dei dati che circolano su quel network: qualcuno si è persino azzardato a dare un nome all’incidente, scegliendo il suggestivo CloudBleed .
Il ruolo svolto da Cloudflare è duplice: i suoi edge-server tengono i contenuti vicini ai navigatori, e fanno circolare i dati sensibili all’interno di una rete privata virtuale che tiene offuscati i contenuti durante il transito. Cookie, password, intere pagine passano attraverso quella CDN: Ormandy si è accorto che, a causa di un bug, se al parser si forniva un HTML difettoso che restituiva un valore negativo si minava l’offuscamento dei dati. Ormandy ha verificato che era possibile ottenere in chiaro dati decisamente sensibili: a quel punto si è fermato e ha informato Cloudflare per consentire di sistemare il bug.
Nel corso dello scorso weekend, lo stesso Ormandy ha collaborato attivamente con Cloudflare per risolvere il problema, e la stessa azienda ha iniziato a indagare sulle cause: ciò che è emerso è che si trattava di un bug residente in un codice in via di dismissione da parte di Cloudflare, e la questione è emersa proprio nel corso di una migrazione dal vecchio al nuovo software sui suoi server. L’intervento dovrebbe essere stato risolutivo: la cache sugli edge server è stata ripulita e i dati sensibili dovrebbero essere stati eliminati del tutto , anche grazie all’ausilio dei principali motori di ricerca (Google compresa) che hanno contribuito identificando eventuali dati sensibili sfuggiti.
Questo lavoro suppletivo ha richiesto qualche ora in più, superando il limite di 7 giorni che Project Zero impone tra la segnalazione agli interessati e la divulgazione della scoperta. Cloudflare ha comunque chiarito che in nessuna circostanza, per quanto è stato possibile verificare, i dati in questione sono stati a disposizione dei malintenzionati: la finestra durante la quale il problema è occorso dovrebbe essere stata compresa tra il 13 e il 18 febbraio scorsi . In totale sono 3,3 milioni le richieste HTTP che hanno restituito dati sensibili non correttamente offuscati, che secondo le stime di Cloudflare equivalgono allo 0,00003 per cento del totale gestito in quel periodo.
Sul network Cloudflare circolano i dati di molte aziende popolari: Uber, Fitbit, OK Cupid, 1Password e molte altre. Dalle prime verifiche parrebbe che non ci siano state fughe di dati pericolose: chi fosse scettico potrebbe comunque optare per un cambio di password generale , così da mettersi al sicuro a scanso equivoci.
Luca Annunziata