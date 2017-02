"Warum nicht das Internet kaputtmachen?" fragte Heather Adkins am Mittwoch auf Twitter. Adkins leitet die Abteilung für Sicherheit und Privatsphäre bei Google, ihr Tweet sollte neugierig machen auf eine spätere Veröffentlichung ihres Teams: Forscher von Google und der Universität Amsterdam hatten die Hashfunktion SHA-1 gebrochen und damit einen alten, aber immer noch weit verbreiteten Baustein für kryptografische Protokolle. Was Adkins nicht ahnte: Zu diesem Zeitpunkt war auch ein anderer, ziemlich großer Teil des Internets kaputt. Und auch das hatte ein Google-Mitarbeiter entdeckt.

Why not break the internet? — Heather Adkins (@argvee) 22. Februar 2017

Dieser andere Fund stellt die Sache mit SHA-1 zumindest medial in den Schatten, weil er viel greifbarer ist: Ein Fehler beim Internet-Infrastrukturbetreiber Cloudflare hat potenziell Passwörter aus Online-Passwortmanagern, Hotelbuchungen, E-Mails, Chats auf Dating-Websites, Cookies, Authentifizierungs-Token und andere sensible Informationen von Millionen von Internetnutzern der Öffentlichkeit preisgegeben. Und zwar von Ende September bis gestern.

Cloudflare ist einer dieser Dienstleister im Netz, mit denen Millionen von Nutzern täglich in Berührung kommen, ohne es zu merken. Das US-Unternehmen betreibt eines der weltweit größten Content Delivery Networks (CDN), mit Servern in mehr als 100 Rechenzentren. CDN halten den Serverinhalt ihrer Kunden – im Fall von Cloudflare sind das unter anderem Uber, Fitbit, OKCupid, Medium, Yelp, Reddit und The Pirate Bay – auf ihren weltweit verteilten eigenen Servern im Cache vor. Dadurch können sie die jeweiligen Websites schneller an die Endnutzer ausliefern, als es der eigentliche Websitebetreiber alleine könnte, erst recht, wenn er mit großen Lastspitzen klarkommen muss.



Daten landeten auch bei Google

Was der Google-Mitarbeiter Tavis Ormandy nun entdeckt hatte, war ein Fehler im Cloudflare-Code. Vereinfacht gesagt hatte der zur Folge, dass manche Nutzeranfragen an Websites im Cloudflare-Netz zum Teil mit Informationen von anderen Websites beantwortet wurden. Und in diesen Informationen konnten auch verschiedenste private Daten von irgendwelchen Nutzern enthalten sein. (Ormandys nicht-vereinfachte Erklärung steht hier, die noch ausführlichere von Cloudflare selbst hier.)

Hinzu kam, dass einige der unabsichtlich verbreiteten Nutzerdaten im Cache von Suchmaschinen wie Google landeten und damit theoretisch für weitere Nutzer auffindbar waren.

Patrick Beuth Redakteur im Ressort Digital, ZEIT ONLINE

Die Wahrscheinlichkeit, dass bestimmte Daten einzelner Nutzer auf diese Weise verbreitet wurden, ist gering. Erstmals möglich war es ab dem 22. September 2016, als Cloudflare ein neues Feature einführte, das den an sich seit Jahren im Code vorhandenen Fehler sozusagen aktivierte. Zwei weitere solcher Funktionen folgten in den Monaten danach. Noch am größten war das Risiko Cloudflare zufolge zwischen dem 13. und dem 18. Februar, als nach einer erneuten internen Code-Umstellung "potenziell eine von 3,3 Millionen HTTP-Anfragen an Cloudflare zu einem Speicherüberlauf" und damit zu einer unbeabsichtigten Weitergabe von Daten geführt hat. Das klingt wenig, aber Cloudflare ist so groß, dass es jede Sekunde mehr als 3,8 Millionen Browseranfragen verarbeitet. (Offiziell sind es zehn Billionen im Monat, macht 3,8 Millionen pro Sekunde).

Am 18. Februar stieß Ormandy zufällig auf den Fehler. Weil es die Nacht auf Samstag war, versprach er sich wenig von einer E-Mail an den Kundensupport, also veröffentlichte er einen Aufruf auf Twitter: "Kann mich jemand von Cloudflare kontaktieren? Es ist dringend." Zwölf Minuten später antwortete ein Mitarbeiter. Sieben Stunden danach hatte Cloudflare die drei problematischen Features abgeschaltet.

Could someone from cloudflare security urgently contact me. — Tavis Ormandy (@taviso) 18. Februar 2017

Nach insgesamt fünf Tagen gingen die Beteiligten an die Öffentlichkeit. Zuvor hatten sie mit Google, Microsofts Bing, Yahoo und anderen Suchmaschinenbetreibern nach gecashten URL gesucht, die Datenlecks enthielten, und waren 770 Mal fündig geworden. Die URL sind inzwischen gelöscht. Weil aber auch jeder Browser einen Cache hat, könnten sich Daten von Fremden mittlerweile auch auf vielen privaten Festplatten befinden.

Der ehemalige Cloudflare-Mitarbeiter und Sicherheitsexperte Ryan Lackey empfiehlt Internetnutzern, vorsichtshalber alle ihre Passwörter zu wechseln – auch wenn es unwahrscheinlich ist, dass sie kompromittiert sind. Websitebetreibern, die Cloudflares Dienste verwenden, legt er eine erzwungene Passwortänderung für die eigenen Kunden nahe. "Es ist möglich, dass jemand anderes den Fehler lange vor Travis entdeckt und aktiv ausgenutzt hat", warnt er.

Google-Forscher Travis Ormandy hat sich mit seinem Fund eine Belohnung verdient, Cloudflares offizielle bug bounty: Ein Cloudflare-Jahresabo und ein T-Shirt.