Probabilmente pochi di voi hanno sentito parlare di Cloudflare, eppure entriamo in contatto con questo servizio quotidianamente ma senza rendercene conto. Ciò succede perché l’azienda opera dietro le quinte del web, agendo come reverse proxy server. Con il suo servizio di Content Delivery Network mette al sicuro tutti quei dati in transito tra l’utente e il sito, come password, cookie o intere pagine, assicurando prestazioni di navigazione ottimali tramite cambio del DNS, protezione da attacchi DDoS e una sicurezza generale più elevata.
È proprio sul versante della sicurezza informatica la scossa di terremoto che ha investito il colosso informatico con una possibile fuoriuscita di dati: un bug a cui è stato dato il nome di Cloudbleed per le molteplici similarità con la falla di sicurezza Heartbleed, trovata nel 2014 nel sistema OpenSSL. Cloudflare Inc., azienda statunitense fondata nel 2009 in California, ha messo a rischio dati riservati di 5,5 milioni di siti web a causa di un bug nel sistema che ha visto coinvolte grandi aziende come Uber, FitBit, OK Cupid, Yelp, 1Password e altre che si appoggiano al network dell’azienda.
Tutto inizia con un rapido tweet: il 18 febbraio un ricercatore di Google chiede sul social di essere contattato dalla sicurezza Cloudflare. A scovare e riportare la falla nel codice sorgente è stato Tavis Ormandy, esperto di sicurezza informatica del team Project Zero di Google. Da settembre 2016 a febbraio 2017 password, messaggi privati, cronologie di navigazione, chiavi API e altri dati sensibili sono stati messi in chiaro e memorizzati nella cache di molti motori di ricerca come Google, Bing e Yahoo!. L’azienda è corsa in fretta ai ripari risolvendo il problema in 47 minuti, disattivando in via precauzionale i servizi potenzialmente colpiti, ancora prima di scoprire la causa. Con l’aiuto dei motori di ricerca si è poi stato necessario ripulire le cache. È proprio su quest’ultimo punto che restano aperti i possibili scenari di leak causati da Cloudbleed: i dati che viaggiavano nelle cache dei motori di ricerca erano facilmente rintracciabili utilizzando i giusti parametri e potrebbero essere stati copiati prima della pulizia, che tra l’altro potrebbe aver lasciato qualche traccia.
All’origine un errore nel codice
Il problema che ha innescato Cloudbleed è uno dei più banali che un programmatore può commettere: un errore nel codice HTML parser che porta a una fuoriuscita di dati a causa di un buffer overflow. In parole povere, informazioni che dovrebbero essere cifrate sono state messe in chiaro con un’alta probabilità di essere leakate sui motori di ricerca. L’azienda minimizza dicendo di non aver ricevuto segnalazioni e stando alle attuali verifiche non si sarebbero presentate fuoriuscite di dati sospette. Secondo Cloudflare, nel periodo di massima vulnerabilità registrato tra il 13 e il 18 febbraio scorsi, il pericolo di leakage è di circa 1 richiesta su 3,3 milioni, ovvero lo 0,00003% del totale.
Com’è possibile difendersi?
La prudenza non è mai troppa, soprattutto quando basta poco per proteggerci. Consigliamo di cambiare i dati di accesso di tutti i siti coinvolti e svuotare cache e cookie dei propri browser. Inoltre, per una maggiore sicurezza generale è buona norma attivare il sistema di autenticazione a due fattori.
È quasi certo che Cloudflare non pubblicherà una lista ufficiale dei domini coinvolti per rispetto della privacy, ma ci ha pensato Github con la redazione di una lista non ufficiale, che però contiene anche i domini che utilizzano il servizio di DNS Cloudflare, non coinvolto in questa faccenda.
Per chi ne volesse sapere di più su Cloudbleed, Cloudflare ha pubblicato un lungo e dettagliato comunicato stampa con tutte le specifiche tecniche del caso.
Leggi altri articoli della sezione dedicata alla Sicurezza digitale.
