Un nuevo año, un nuevo bug en internet que causa graves problemas y gracias a ello, es hora de cambiar tus contraseñas. Resulta ser que hoy se publicó que una popular empresa que brinda soluciones para sitios web de entrega de contenido, seguridad, DNSs, etc. llamada Cloudfare.
Resulta ser que quién detectó y reportó primero el bug , fue Travis Ormandy, un investigador de Google, que rápidamente avisó a Cloudfare que un bug causaba que algunas peticiones de HTTP que corrían por los sistemas de Cloudfare regresaban páginas web corruptas con datos que podían contener información sensible, es decir, al entrar a un sitio o servicio el código de la página podía contener mails, mensajes privados, contraseñas u otras credenciales para acceder a un servicio.
La relativamente buena noticia es que este bug filtró información principalmente en 1 de cada 3,300,000 peticiones de HTTP (0.00003%) que ocurrieron entre el 13 y el 8 de febrero; la mala es que dado el masivo tráfico que Cloudfare recibe, esta sigue siendo una filtración muy considerable y lo que ayudó a hacerla un poco peor, es que buscadores como Google, guardaron en el caché de los sitios, esta misma información potencialmente sensible.
Hasta el momento no se sabe de que este bug ahora llamado “Cloudbleed” llevase a algún ataque malicioso y parece que el problema ya fue solucionado, sin embargo, como siempre, más vale prevenir que lamentar. Por eso aunque no se sabe que sitios que usan los servicios de Cloudfare fueron afectados, se recomienda cambiar tus contraseñas.
Algunos usuarios han hecho una lista en Github de todos los sitios que potencialmente podrían haber sido afectados para que sepas que contraseñas definitivamente debes cambiar, sin embargo, estamos hablando de una lista de 4,287,625 sitios y servicios…
Algunos sitios destacables en la lista son:
- Uber.com
- patreon.com
- producthunt.com
- medium.com
- 4chan.org
- yelp.com
- okcupid.com
- zendesk.com
- 23andme.com
- curse.com
- upwork.com
- codepen.io
- fiverr.com
- thepiratebay.org
- extratorrent.com
- getbootstrap.com
- jquery.com
- laravel.com
- laracasts.com
- seriouseats.com
- bitdefender.com
- ziprecruiter.com
- glassdoor.com
- pastebin.com
- fitbit.com
- discordapp.com
- change.org
- feedly.com
- zoho.com
- androidauthority.com
- androidcentral.com
- androidpolice.com
- de10.com.mx
- dx.com
- efukt.com
- ffffound.com
- filecloud.io
- petapixel.com
- proceso.com.mx
- series.ly
- seriesyonkis.com
…y la lista sigue.