Un problema de seguridad ha dejado al descubierto millones de passwords de varios sitios web

cloudbeed

Volvemos de nuevo con los problemas de seguridad en Internet, pero en esta ocasión hablamos de uno realmente serio, ya que no afecta a un solo sitio web y sí a miles de ellos.

Ha sido un investigador de Google, Tavis Ormandy, el que ha descubierto un error que podría haber expuesto contraseñas, mensajes privados y otros datos sensibles de sitios como Uber, FitBit, OKCupid y muchos otros. Ha sido causado por una vulnerabilidad en el código de CloudFlare (lo explican en su blog), CDN que aloja y sirve contenido para unos 2 millones de sitios web, por lo que los datos de los usuarios que navegan por ellos podrían estar en peligro, ya que estaba devolviendo trozos aleatorios de memoria de servidores vulnerables cuando llegaban las solicitudes, según especifican en forbes.

Los motores de búsqueda estaban almacenando en caché esa información filtrada, aunque Cloudfare ya ha trabajado con ellos para eliminar los datos. El problema es que al alojar contenido de diferentes sitios en el mismo servidor, una solicitud a un sitio web vulnerable podría revelar información sobre un sitio diferente.

Ponen como ejemplo algo que podría haber ocurrido:

[…] podría haber visitado una página en uber.com, y un pedazo de memoria de una solicitud anterior a okcupid.com sería devuelto.

Eso significa que cualquier persona puede tener en su caché las contraseñas de otra persona, aunque no lo sepa…

Tavis informó a CloudFlare del problema el 17 de febrero, y ya ha sido solucionado, pero es importante cambiar las contraseñas de todos los servicios que usamos frecuentemente, para evitar sustos.

Aquí podéis ver una lista de los sitios web que usan Cloudfare, y aquí otra lista de los sitios que sí han sido afectados, aunque no contempla todos.

Juan Diego Polo

Estudió Ingeniería de Telecomunicaciones en la UPC (Barcelona), trabajando como ingeniero, profesor y analista desde 1998 hasta 2005, cuando decidió emprender creando wwwhatsnew.com.