Уязвимость в CloudFlare привела к утечке конфиденциальных данных

В одной из крупнейших сетей доставки контента CloudFlare выявлена уязвимость , ставшая причиной утечки конфиденциальных данных, включая пароли, сессионные файлы cookie и токены, фигурирующие при обработке запросов других сайтов. Проблема, обнаруженная специалистом по безопасности Google Project ZeroТэвисом Орманди (Tavis Ormandy), получила кодовое название Cloudbleed по аналогии с нашумевшей уязвимостью Heartbleed.

Сервис CloudFlare выполняет роль посредника между сайтом и пользователем, который одновременно защищает серверы клиентов (т.е. того или иного сайта или сервиса) и оптимизирует работу сайтов для обычного пользователя. По имеющимся данным, услугами сервиса пользуются порядка 5 млн различных ресурсов, в том числе Uber, сайт знакомств OKCupid, сервис хранения паролей 1Password, российский сайт с объявлениями «Авито» и др.

Утечки происходили с сентября 2016 года по февраль 2017 года - то есть в течение более пяти месяцев в открытый доступ попадали случайные порции конфиденциальных данных, включая личную информацию пользователей сайтов крупнейших компаний. Как поясняется в сообщении CloudFlare, утекшие данные сохранялись в кэше поисковых систем и могли быть выявлены злоумышленниками через отправку типовых поисковых запросов.

Пик утечки пришелся на 13-18 февраля 2017 года. В этот период утечка данных происходила примерно один раз на 3,3 млн HTTP-запросов (примерно 0,00003% запросов).

Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц. Парсер был написан с использованием компилятора Ragel и содержал ошибку в условии проверки конца буфера.

Несмотря на то, что уязвимость существовала почти полгода, случаев эксплуатации проблемы не выявлено. На портале GitHub уже опубликован список сайтов, которые могли быть подвержены утечке данных.