¿Has entrado recientemente en páginas web como Forocoches, Change.org, Fitbit, OKCupid o Pastebin? Pues ya puedes correr a cambiar sus contraseñas. Durante meses, las comunicaciones de estos sitios han estado expuestas a filtraciones a los buscadores y todo el que conociese este fallo, bautizado como Cloudbleed porque afecta a los clientes del mega-proveedor norteamericano Cloudflare.

Más de 4 millones de webs en todo el mundo estarían afectadas por este agujero de seguridad, que fue introducido en septiembre del año pasado tras un cambio técnico en los sistemas de Cloudflare. Durante meses, contraseñas, "cookies", claves de cifrado, mensajes privados de sitios de citas, mensajes de chat, direcciones IP y peticiones HTTPS habrían sido públicas, al alcance de cualquier 'hacker' y de los robots de los buscadores, que conservan aún algunos de estos datos sensibles en sus cachés.

Cloudflare es una empresa de San Francisco, especializada en transmisión de contenidos, servicios seguros en Internet y nombres de dominio. Desde 2010 ha experimentado un crecimiento meteórico, al cuidado de más de 5,5 millones de sitios. El investigador de seguridad Nick Sweeting ha publicado una lista de clientes de Cloudflare que podrían estar afectados, entre ellos el 13% de los sitios del Alexa Top 10.000.

Tavis Ormandy, del Project Zero de Google, descubrió el fallo el viernes pasado. De hecho, en su cuenta en Twitter se conserva el mensaje en el que pedía contacto con alguien de seguridad de Cloudflare. Tras una semana de frenética actividad para detectar el problema y limpiar los datos filtrados a los buscadores, Cloudflare ha hecho público el fallo en un texto que todo el mundo ha aplaudido por la total transparencia. Lo que no ha gustado tanto es el premio que Cloudflare ha dado al investigador: una camiseta...

Según Cloudflare, la filtración habría afectado sólo a 161 dominios únicos y el peor momento del fallo habría sido entre el 13 y 18 de febrero, cuando una entre 3,3 millones de peticiones HTTP de sus clientes habrían sido filtradas, de forma aleatoria. Aunque Cloudflare tiene millones de clientes, el número de afectados según estas afirmaciones no sería excesivamente alto. Pero los veteranos de la seguridad recomiendan no bajar la guardia, asumir que todas las comunicaciones pueden haber sido afectadas y cambiar todas las contraseñas relacionadas con Cloudflare. Aquí tienes la lista completa de páginas web afectadas. Estas son algunas de las más conocidas y que aún no han confirmado no estar afectadas, pero hay miles:

transferwise.com
medium.com
4chan.org
yelp.com
okcupid.com
uber.com
thepiratebay.org
pastebin.com
fitbit.com
change.org
feedly.com
zoho.com
subtitulos.es

Uno de los clientes más sensibles de Cloudflare, el administrador de contraseñas 1Password, ha asegurado desde su blog oficial que sus productos no se han visto afectados por el fallo, gracias a sus capas extra de cifrado. Lo que hace más complicado este "bug" es que pueda haber afectado a la seguridad no solo de Cloudflare sino de alguno de sus clientes. Además, la información comprometida no se ha quedado a la espera de que alguien la cogiese, sino que ha sido filtrada efectivamente, 'gracias' a los robots de los buscadores.


Fuente: http://www.elconfidencial.com/tecnol...acion_1338266/