Bug im HTML-Parser: Cloudflare verteilt private Daten

Durch einen Software-Fehler sind private Daten wie E-Mails, Cookies und Passwörter von rund 5,5 Millionen Webseiten öffentlich im Internet zugänglich.

(Foto: slunicko1977 - Fotolia)

Viele Internet-Nutzer haben regelmäßig Kontakt mit Cloudflare, ohne etwas davon zu bemerken. Der CDN-Anbieter verteilt Webseiten-Inhalte und schützt seine Kunden vor DDoS-Angriffen. Der auch Cloudbleed genannte Bug im Cloudflare-Code, der jetzt erst mit Hilfe von Google bekannt wurde, besteht bereits seit September vergangenen Jahres. Er ermöglichte den Zugriff auf private Daten etwa der Kunden von Uber, Fitbit und mehreren Dating- und Erotik-Portalen. Nach Angaben von Cloudflare ist die Sicherheitslücke inzwischen geschlossen.

Damit ist die Gefahr des Datenverlusts aber noch nicht gebannt. Denn die privaten Daten wurden inzwischen von mehreren Suchmaschinen erfasst und gespeichert, darunter auch Google, und sind somit prinzipiell weiterhin zugänglich. Auch über den Browser-Cache dürfte so manche sicherheitsrelevante Information noch auf zahlreichen privaten Festplatten schlummern.

John Graham, CTO von Cloudflare, erklärt im Cloudflare-Blog: »Der Fehler war so schwerwiegend, weil die ausgeflossenen Speicher auch private Informationen enthalten können und weil es von den Suchmaschinen gecached wurde.« Er empfiehlt allen Anwendern, ihre Passwörter zu ändern und erläutert den technischen Hintergrund des Bugs unter https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/.