В сети доставки контента CloudFlare найдена уязвимость, которая повлекла утечку конфиденциальной информации, в том числе паролей, cookie-файлов и токенов, фигурирующих при обработке запросов других веб-ресурсов. Уязвимость Cloudbleed была обнаружена экспертом из Google Project Zero Тэвисом Орманди.
Сервис CloudFlare является посредником между интернет-порталами и пользователями, отвечающим за защиту серверов клиентов и оптимизацию работы сайтов.
Утечки происходили с сентября минувшего года по февраль текущего года. Таким образом в течение 5 месяцев конфиденциальная информация пользователей сайтов крупных компаний попадала в открытый доступ. В сообщении CloudFlare указано, что утекшая информация сохранялась в кэше поисковиков и могла быть обнаружена злоумышленниками посредством типовых поисковых запросов.
Пик утечки пришелся на 13-18 февраля этого года. Утечка произошла из-за ошибки в реализации парсера разметки HTML, который применяется для разбора и замены контента веб-страниц. Парсер был разработан с помощью компилятора Ragel и содержал ошибку в условии проверки конца буфера.
Хотя уязвимость существовала на протяжении 5 месяцев, эксперты не выявили фактов ее использования. На GitHub уже размещен перечень сайтов, которые могут быть затронуты утечкой информации.