Cloudbleed

| Publicado el |

El día 17 de febrero fue descubierto un problema en los servicios de Cloudflare, gracias al Project Zero de Google y fue reparado el incidente el día 21 de Febrero, de acuerdo con la línea de tiempo publicada por Cloudflare.

Línea de tiempo:

All times are UTC.

2017-02-18 0011 Tweet from Tavis Ormandy asking for Cloudflare contact information
2017-02-18 0032 Cloudflare receives details of bug from Google
2017-02-18 0040 Cross functional team assembles in San Francisco
2017-02-18 0119 Email Obfuscation disabled worldwide
2017-02-18 0122 London team joins
2017-02-18 0424 Automatic HTTPS Rewrites disabled worldwide
2017-02-18 0722 Patch implementing kill switch for cf-html parser deployed worldwide

2017-02-20 2159 SAFE_CHAR fix deployed globally

2017-02-21 1803 Automatic HTTPS Rewrites, Server-Side Excludes and Email Obfuscation re-enabled worldwide.

El ingeniero que hizo el descubrimiento es Tavis Ormandy.

El incidente fue reparado por Cloudflare y llegó a involucrar a más equipos de Cloudflare debido a la magnitud y severidad del mismo.

Hay que aclarar que no hay sistemas 100% seguros y que pueden descubrirse fallas. En la conversación original: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139, pueden ver que Google trabajó de la mano con Cloudflare desde el inicio, que aportó soluciones desde su trinchera e hizo lo posible porque se resolviera.

Sin embargo, el comunicado oficial por parte de Cloudflare tardó un poco en llegar y estuvo en el límite de tiempo, antes de que Google publicara los detalles del incidente.

Comunicado oficial de Cloudflare: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Debido a que el fallo de seguridad exponía información delicada y en algunos casos privada, le llamaron Cloudbleed. No se sabe si alguien se aprovechó de este fallo, ni cuánto tiempo estuvo activo. Lo curioso del caso, es que Cloudflare tiene un programa de recompensas donde si se descubre un fallo o vulnerabilidad, el premio es una camiseta.

Hay programas, como Facebook Bug Bounty conoce sus requisitos aquí o Google Bug Bounty, que pueden dar una suma de dinero al ingeniero que descubre esos incidentes, si es que las empresas lo consideran adecuado. La cooperación entre los ingenieros que descubren este tipo de vulnerabilidades y las empresas involucradas es vital para mantener un entorno sano y seguro.

¿Alguien de ustedes, queridos lectores, usa Cloudflare? ¿Qué piensan sobre este incidente?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *