Allvarlig bugg upptäckt i Cloudflare – miljontals konton i farozonen

En bugg i Cloudflares källkod har lett till att potentiellt miljontals användarkonton läckt ut på webben. Buggen beskrivs som en av de allvarligaste någonsin.

Rapporter om hackade webbplatser och läckt kontoinformation har de senaste året varit många. Allt från onlinespelet Dota 2:s officiella forum till sökmotorföretaget Yahoo har utsatts för attacker, där ett stort antal användarkonton hamnat på vift.

Nu rapporteras det återigen om en stor läcka, denna gång från Cloudflare som står för säkerhet och optimering hos ett stort antal sajter. Totalt rör det sig om miljontals webbplatser, bland annat Reddit, Discord och Pirate Bay, vilket gör det svår att avgöra hur många konton som läckts ut.

Buggen upptäcktes av Tavis Ormandy, som arbetar med säkerhet på Google, och beskrivs som en av de största någonsin. På grund av ett fel i Cloudflares proxyservrars källkod började dessa kasta ut https-skyddad information, vilken sedan sparades i cache hos Google och andra sökmotorer. Detta i sin tur ledde till att hackare och bottar fick fri tillgång till informationen.

Buggen har funnits i Cloudflares källkod sedan ett antal månader tillbaka, men har inte upptäckts förrän nu. Endast timmar efter att den uppmärksammades täppte dock Cloudflare igen hålet och ingen olovlig användning av informationen har dokumenterats. Trots detta rekommenderas det att byta samtliga lösenord, då antalet webbplatser är så pass många.