Un problema ai server di CloudFlare mette a rischio milioni di utenti: ecco come scoprire se siete a rischio

Vezio Ceniccola -

Quasi certamente non avrete mai sentito parlare di Tavis Ormandy, analista di Google, ma forse gli sarete grati dopo quello che scoperto. Infatti, è stato proprio il ricercatore inglese ad individuare una vulnerabilità di sicurezza che potrebbe mettere a rischio la privacy ed i dati di moltissimi utenti, molto probabilmente ignari di tutto.

Il problema sta nella piattaforma CloudFlare, un servizio a cui si appoggiano ben 5,5 milioni di siti web, tra cui grandi nomi come FitBit, Yelp, Medium, CodePen, OKCupid, e Uber. A causa di un bug di programmazione dei server, che ne provocava il sovraccarico, una parte delle informazioni contenute in memoria finiva in rete, diventando accessibile tramite ricerche mirate. Ciò significa che un eventuale malintenzionato avrebbe potuto scovare questi leak ed entrare in possesso di dati sensibili degli utenti, come password, cronologia di navigazione, indirizzi IP, chat private ed altro ancora.

CloudFlare ha comunicato di aver già rilasciato una patch per sistemare il problema, che adesso sembra definitivamente risolto, ma alcune delle informazioni trapelate potrebbero essere ancora in giro per il web, dando la possibilità agli hacker di cercarle ed estrarre i dati contenuti al loro interno.

LEGGI ANCHE: I driver di NVIDIA erano un colabrodo

Infatti, alcuni dei dati sono stati memorizzati nella cache dei motori di ricerca, e ciò sta costringendo i vari Google, Bing e Yahoo ad intervenire anche sui loro servizi per cancellare le informazioni compromettenti fuoriuscite dai server di CloudFlare.

La situazione sta, dunque, tornando alla normalità, ma le scorie di questo problema sono ancora nascoste tra le pieghe di internet. Se utilizzate uno dei siti che usufruiscono dei servizi di CloudFlare – su questo sito potete controllare l’indirizzo desiderato –, il nostro consiglio è di cambiare password e di attivare strumenti di sicurezza più evoluti, come l’autenticazione in due passaggi ove disponibile.

Via: The Next Web
  • luigi gimmi

    Cercando su google sembra che Travis il nome dell’analista si scriva senza la r, ovvero Tavis.

    • Vezio

      Hai ragione, ho corretto, grazie per la segnalazione. 🙂