Taringa, Uber, Change.org, FitBit, OKCupid… más de 4 millones de sitios web trabajan con Cloudflare, una empresa de transmisión de contenidos que estuvo en jaque a causa de un error de configuración en sus servicios.
Tavis Ormandy, un investigador de Google, descubrió un error que podría haber expuesto contraseñas, mensajes privados y demás datos sensibles de miles de sitios web. El problema no es que hayan podido quedar expuestos sino más bien que los propios motores de búsqueda hayan sido capaces de almacenarlos.
Cloudflare confirmó el suceso y dijo que ya lo corrigió, por lo que ahora queda el trabajo de Google, Yahoo! y Bing para borrar por completo los posibles datos sensibles que hayan quedado almacenados.
De acuerdo con John Graham-Cumming, CTO de Cloudflare, no hay evidencias sobre alguna explotación maliciosa del error. De igual manera, analistas en seguridad informática recomendaron a los usuarios cambiar las contraseñas que emplean de manera habitual para acceder a diversos servicios web.
Las principales empresas implicadas en el caso llevaron tranquilidad al asegurar que el impacto fue mínimo y que no hay reportes sobre daños a las bases de usuarios.
No 1Password data was put at risk through the bug reported earlier today. https://t.co/S7G62Qw85Q
— Cloudflare (@Cloudflare) 24 de febrero de 2017
En Forbes explicaron el hecho en palabras sencillas: al alojar contenidos de diversos sitios en un mismo servidor, el error hacía que una solicitud de datos desde una sitio vulnerable pueda haber revelado información de otro sitio.
Más claro: un usuario visita una página en uber.com y luego sería devuelto una porción de memoria de otra solicitud anterior a okcupid.com. De esa manera, sin saberlo, un usuario podría tener en el caché las contraseñas de otra persona.
En GitHub publicaron una lista de los sitios con los que trabaja Cloudflare, pero en ella no queda claro cuáles se vieron afectados. Hay otras que sí parecen ir en ese sentido.