O pesquisador Tavis Ormandy, que trabalha no Project Zero, do Google, descobriu uma grave falha de segurança no Cloudflare, serviço que criptografia SSL para aproximadamente dois milhões de sites, que pode comprometer os dados dos usuários que usam as páginas e os serviços ligados aos servidores da empresa – estes incluem Uber, Fitbit e OkCupid.

De acordo com Ormandy, a vulnerabilidade foi encontrada no dia 18 de fevereiro, quando ele trabalhava em um projeto de análise de dados. Ao perceber que algumas informações não faziam sentido, ele conversou com os integrantes do Project Zero e chegou à conclusão de que o Cloudflare expunha cookies, tokens de autenticação e outros dados sensíveis no código-fonte dos sites.

[awprm urls=https://imasters.com.br/noticia/microsoft-adia-patches-de-seguranca-devido-vulnerabilidades-criticas-do-flash-player/,https://imasters.com.br/noticia/pesquisadores-de-seguranca-anunciam-primeiro-ataque-pratico-de-colisao-sha-1/]

O problema é que até os motores de busca, como o Google, estavam enxergando e armazenando essas informações. Para piorar, como o CloudFlare armazena conteúdo de vários sites diferentes em um mesmo servidor, uma requisição a um site do serviço poderia acabar revelando dados de outro site.

Em um post em seu blog, a CloudFlare afirma que identificou e corrigiu o problema rapidamente (apenas 47 minutos após sua divulgação) – a empresa alega que ela existe desde o dia 22 de fevereiro – e que não registrou uso malicioso das informações vazadas. Além disso, o serviço entrou em contato com os principais motores de busca e solicitou que as páginas com informações vazadas fossem removidas do cache. No total, 770 páginas de 161 domínios foram encontradas nos índices de vários mecanismos de busca.

Nesta página no GitHub, é possível ver alguns dos sites que utilizam o Cloudflare e podem ter sido afetados pela vulnerabilidade.