Una vulnerabilidad en Cloudflare, el proveedor de entrega de contenido seguro en Internet, expuso información sensible de sus clientes durante meses.

La vulnerabilidad en Cloudflare fue hallada por el ingeniero de Google Tavis Ormandy y habría sido provocada no por el ataque de piratas informáticos, sino por unos cambios que Cloudflare llevó a cambios en su servicio.

Ormandy informó a la compañía y ésta confirmó la vulnerabilidad. Debido a la gravedad del error, puso en marcha un equipo multifuncional para entender completamente la causa subyacente, para comprender el efecto de la pérdida de memoria, y para trabajar con Google y otros motores de búsqueda para eliminar cualquier respuesta HTTP en caché.

La vulnerabilidad estuvo resuelta en unas pocas horas pero el problema es que la vulnerabilidad había estado activa desde el 22 de septiembre de 2016. Cloudflare trabaja con más dos millones de sitios web incluyendo grandes portales como Fitbit, OkCupid o Uber.

Aunque Cloudflare asegura que las claves privadas SSL cliente están aseguradas, la base de datos expuesta habría podido filtrar contraseñas, claves de la API, mensajes privados o cookies, que podrían haber sido almacenado en caché por los motores de búsqueda, convirtiendo el asunto en bastante más que una su brecha de seguridad estándar.

Incluso, algunos medios comparan la vulnerabilidad en Cloudflare con Heartbleed, la más grave de la historia de la Web ya que podría haber alcanzado a dos tercios de servidores de Internet que usan cifrado el paquete de administración y bibliotecas de cifrado, OpenSSL.