Årets värsta bugg? Massiv miss hos Cloudflare ställer till det

Kan Cloudbleed vara en värre säkerhetsbugg än Heartbleed?

En enkel miss i källkoden hos företaget Cloudflare har ställt till det för användarna på flera av internets största sajter, och kan ha orsakat en av de största säkerhetsbuggarna någonsin. Det rapporterar The Register.

För på grund av att ett = i stället blev > i källkoden tappade Cloudflares proxyservrar bort sig och började kasta ut data, även https-skyddad data, till höger och vänster. Buggen upptäcktes först nu men problemet kan ha pågått i månader, och mycket känsliga användardata kan ha läckt ut i Googles sökcachar. Vilket kan betyda att den snappats upp av hackare och bottar.

Läs också: Heartbleed - det här behöver du veta

Cloudflare är ett företag som skyddar sina kunder från ddos-attacker och som hjälper sajter att sprida sig på nätet, bland annat huserar de Uber, Piratebay, Reddit och Patreon. Såpass många sajter finns kopplade till Cloudflare att det är svårt att avgöra vilka som drabbats men här kan du se en hel lista över de sajter som kan ha påverkas av Cloudbleed.

Det var säkerhetsexperten Tavis Ormandy hos Google som först upptäckte buggen som fått namnet Cloudbleed, som en referens till Heartbleed-buggen som 2014 drabbade internet och som har kallats den största säkerhetsbuggen någonsin. Huruvida Cloudbleed är i närheten av att stjäla den titeln är det dock för tidigt att utröna.

Enligt säkerhetsexperten Jonas Lejon är det ännu för tidigt för att se exakt hur allvarlig bugg Cloudbleed är, men han tycker inte jämförelsen med Heartbleed är långsökt.

– Vi vet inte hur allvarligt det här är. Cloudflare har hittills tonat ned det hela genom att prata om själva buggen, vad det innebär för konsumenterna har man inte pratat så mycket om. Lite senare idag bör vi ha lite bättre koll, men använder man sajterna som kan ha drabbats bör man byta lösenord, säger Jonas Lejon till IDG.

Även Tavis Ormandy tar buggen på stort allvar.

”De exemplen vi hittar är så illa att jag ställde in helgplanerana så att jag kan spendera söndagen på kontoret för att bygga verktyg för att städa upp”, skriver Ormandy i en bloggpost.

Enligt Ormandy jobbar Google intensivt för att städa undan den känsliga informationen tillsammans med ett lag från Cloudflare, som även lämnat en detaljerad incidentrapport om vad som hänt.

Läs också: 2016 var ett tufft år för it-säkerheten – men 2017 blir värre

Det prekära läget blir extra pinsamt för Cloudflare då det efter upptäckten framkommit att företaget fram tills nu enbart erbjudit en t-shirt för till de som hittat buggar hos företaget.

Kommentera och diskutera här