Cloudflare - Comunicaciones HTTPS filtradas.

Bramante 24 febrero 2017 17:49 ✎

⋮

kORYMmN Ayer el SHA-1 descalabrado (que bueno, era crónica de una muerte anunciada) y hoy he desayunado con el serio problema que ha tenido Cloudflare.

Un trabajador del Project Zero de Google, Tavis Ormandy, en un día de curro normal empezó a ver datos que no debían estar allí y que puso al grupo en alerta: En Cloudflare la liaron con su propia modificación de Ragel.

Por resumir, entre los datos que encontró Tavis, había cosas como passwords o llaves de cifrado, incluso mensajes de un programa de mensajería "well-known".

Entrada en el blog de Cloudflare dando explicaciones.
Hilo donde Tavis va contando la experiencia.
Listado de sitios posiblemente afectados.

Ale, a cambiar contraseñas.

pepejil 24 febrero 2017 18:16

⋮

Hostias... Y no son precisamente pocos sitios los que están detrás de CloudFlare...

✖

Bramante 24 febrero 2017 18:19

⋮

En el listado de Github van ya por los casi cuatro millones y medio de webs (aunque se incluyen aquellos que solo usan Cloudflare por sus DNS y no se han visto afectados).

Ya existe una web para comprobar qué sitios usan Cloudflare: Does it use Cloudflare?

BocaDePez 24 febrero 2017 19:21

⋮

Y justo esta mañana mi teléfono me ha pedido que me reidentifique con mis dos cuentas de gmail. Curioso.

✖

Bramante 24 febrero 2017 19:28

⋮

Mucha gente comenta eso mismo.

BocaDePez 24 febrero 2017 19:40

⋮

Nada que ver. Google no usa cloudflare.

pepejil 24 febrero 2017 19:58

⋮

No, no tiene nada que ver: es.gizmodo.com/cientos-de-usuarios-han-s…n-1792697608