Błąd został wykryty przez Tavisa Ormandiego, pracownika Google Project Zero. Luka w uogólnieniu powodowała losowe wycieki prywatnych danych z serwisów, które korzystają z CloudFlare.
Do sieci wyciekały takie dane, jak hasła, pliki cookies, adresy IP, tokeny, dane osobowe, prywatne wiadomości (np. z serwisów randkowych), klucze szyfrujące, zdjęcia, potwierdzenia rezerwacji hoteli czy nawet stopklatki z filmów pornograficznych. Ogółem wszystko, co użytkownicy wprowadzali w witrynach korzystających z CloudFlare.
Warto dodać, że dane te nie były widoczne bezpośrednio w oknie przeglądarki. Były jednak doskonale dostępne dla silników wyszukiwarek internetowych, które regularnie skanują witryny. Newralgiczne dane przedostały się zatem do wyszukiwarek i nadal są przechowywane na ich dyskach twardych. Google i Bing potwierdziły już, że wyczyściły swoje nośniki.
CloudFlare podaje, że największy wyciek miał miejsce od 13 do 18 lutego. W dniach tych jedno na każde 3,3 mln zapytań HTTP do witryn losowo zwracało newralgiczne dane.
Szansa, że właśnie nasze dane dostały się w niepowołane ręce, jest znikoma. Obecnie nie wiadomo, czy ktokolwiek oprócz badacza Google wiedział o istnieniu luki. Osoby panicznie bojące się o swoje bezpieczeństwo powinny jednak zmienić hasła we wszystkich witrynach korzystających z CloudFlare. Ich lista znajduje się w tym miejscu.
Źródło: The Verge