bug di cloudflare

Cloudflare, azienda che offre servizi principalmente per incrementare l’affidabilità, la sicurezza e le performance dei siti web, ha appena annunciato che negli ultimi mesi (a partire da Settembre 2016) è stata affetta da un bug che potrebbe aver causato una fuga di dati sensibili da alcuni siti che ne fanno uso. Il bug di Cloudflare sembra aver colpito una percentuale molto piccola delle richieste gestite dai loro server. Tuttavia, trattandosi di un numero di richieste elevatissimo e di un periodo piuttosto lungo, le probabilità di essere stati coinvolti non sono proprio bassissime per chi fa uso del loro servizio da molto tempo.

Il picco del problema si dovrebbe essere verificato nel periodo che va dal 13 al 18 Febbraio, ma al momento dovrebbe essere stato risolto completamente.

Cosa è successo esattamente?

Normalmente, Cloudflare è un servizio che si interpone tra l’utente di un sito web e il server in cui il sito web stesso risiede. Questo viene fatto principalmente per motivi di performance (attraverso l’uso di una CDN che “pre-carica” le pagine web del sito e le presenta in modo più veloce ed efficiente) e per motivi di sicurezza (fungendo anche da firewall).

Durante il periodo in cui si è verificato il bug, in alcuni casi è successo che i dati richiesti da un utente A venissero mischiati con dati presenti su altri siti, causando la visualizzazione, sul browser dell’utente A di dati richiesti anche dall’utente B e dall’utente C, che stavano navigando su altri siti, completamente diversi. Tutto questo è avvenuto anche per dati protetti da una connessione sicura, causando in alcuni casi la visualizzazione di dati sensibili (come ad esempio password, cookies di sessione e token di autenticazione).

Dati presenti sui motori di ricerca

Uno dei problemi più gravi di tutto ciò è che questa fuga di dati è avvenuta non solo verso degli utenti reali, ma anche verso i motori di ricerca che, durante la loro fase di analisi dei siti web, hanno memorizzato ed indicizzato tali dati, rendendoli disponibili tra i risultati delle ricerche degli utenti.

Ovviamente, da quando è stato scoperto e annunciato il bug di Cloudflare, Google e gli altri motori di ricerca si sono subito messi all’opera per eliminare tali dati sensibili dalla cache dei propri server. Tuttavia rimangono ancora alcuni dati sensibili presenti in alcune SERP.

Cosa possiamo fare per verificare se il nostro sito è stato affetto dal bug di Cloudflare?

Per prima cosa, se usate il loro servizio, vi arriverà una email direttamente da Matthew Prince, co-fondatore e CEO di Cloudflare, in cui dichiarerà se il vostro sito è stato vittima di questo bug o no. Ecco ad esempio un piccolissmo estratto dell’email che è arrivata a me (che faccio uso del loro servizio da pochi giorni):

Fortunately, your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data.

Ma se volete essere ancora più sicuri, vi basterà provare ad eseguire delle ricerche su Google utilizzando il testo:

-site:miodominio.com

dove ovviamente dovrete inserire il vostro dominio web al posto di miodominio.com ed, eventualmente, potrete aggiungere la stringa ““CF-Host-Origin-IP:” per raffinare la ricerca.

E’ importante mantenere il segno meno all’inizio della prima stringa perché esclude i risultati generati dal vostro sito web, indicando quindi che i dati sul vostro dominio vengono riportati da altri siti.

Se trovate dei risultati “sospetti”, non esitate a contattare immediatamente Google per richiederne la rimozione.

Un’altra cosa che potete fare che non fa mai male, sempre se fate uso di Cloudflare, è cambiare le salt keys all’interno del vostro file wp-config.php (vedi il mio articolo su come migliorare la sicurezza di WordPress per maggiori informazioni) e cambiare le password dell’utente amministratore.

Per maggiori informazioni vi invito a consultare direttamente il post in cui la società, nel suo blog ufficiale, dà molti più dettagli tecnici sul bug e spiega come è stato risolto.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *