Una falla deja al descubierto contraseñas de 6 millones de sitios

Cloudflare ofrece servicios de cifrado para 6 millones de sitios; ingenieros de Google descubrieron una vulnerabilidad que dejaba visibles contraseñas y conversaciones privadas; ya fue resuelto

Una falla en el código de Cloudflare -una empresa que proporciona servicios de cifrado de seguridad a millones de sitios web- dejó al descubierto información sensible, como contraseñas y conversaciones en páginas de chat y citas online, aunque inicialmente no hubo evidencia de que ese error haya sido aprovechado por atacantes, aseguró hoy la firma afectada.

El problema fue descubierto por ingenieros del Proyecto Zero de Google, quienes le reportaron a Cloudflare sobre esta vulnerabilidad que filtraba las claves privadas de las sesiones http de los usuarios que se conectaban a través de sus servidores.

John Graham-Cumming, jefe de Tecnología de Cloudflare, afirmó que el problema "ya fue arreglado rápidamente" y que la mayoría de los datos expuestos "fueron removidos de los cachés" (memoria temporal) de los motores de búsqueda, según informó hoy la agencia Reuters.

"No registramos absolutamente ninguna evidencia de que esta falla haya sido aprovechada por atacantes", indicó Graham-Cumming a Reuters, y agregó que "es poco probable que alguien haya tomado esta información".

La fuga pudo haber estado activa desde el 22 de septiembre de 2016, pero el período más afectado se registró a partir del 13 de febrero pasada, hasta que fue descubierta el sábado 18.

A esa altura, Graham-Cumming dijo que alrededor de 120.000 páginas web estaban filtrando información todos los días.

Parte de esta información incluye "mensajes privados de los principales sitios de citas, conversaciones de un reconocido servicio de chat, contraseñas, reservas de hotel", así como cookies y claves de software, publicó en un foro Tavis Ormandy, el ingeniero de Google que descubrió esta falla.

Cloudflare aloja a seis millones de sitios web y les ofrece una capa de seguridad para reducir su exposición a los llamados ataques de denegación distribuida de servicio (DDoS por sus siglas en inglés) que podrían desconectarlos de la red.