Furto di password e dati sensibili: scoperta una falla nel colosso Cloudflare

Brutte notizie per milioni di utenti. Una falla nel colosso dell’informatica americana CloudFlare ha messo a rischio milioni di password  e dati sensibili.

Si parla di un danno enorme perché l’azienda finita nel mirino vanta tra i clienti Uber, FitBit, OKCupid e 1Password.

In un lungo post pubblicato nella notte CloudFlare ha spiegato che all’interno del suo codice si nascondeva un cosiddetto bug, cioè una falla, che per mesi ha messo a rischio cracker le informazioni sensibili dei naviganti.

Purtroppo la falla ha riguardato un lungo periodo dal 22 settembre al 18 febbraio quando è stata scoperta.

E cosa ben più grave è che queste informazioni sono state conservate nella memoria di molti motori di ricerca (come Google, Bing e Yahoo!) con cui CloudFlare adesso sta lavorando per procedere alla rimozione.

Un danno enorme per Cloudflare e per i suoi clienti perché il furto delle password e dei dati sensibili è stato possibile non solo in tempo reale accedendo ai siti vulnerabili ma anche attraverso i motori di ricerca.

A scoprire la falla è stato Tavis Ormandy, analista di Project Zero, il progetto sulla sicurezza avviato da Google nel 2014.

Che ha scoperto il bug nel sistema “OpenSSL”, il software di sicurezza usato da milioni di pagine internet nelle transazioni commerciali, nelle comunicazioni criptate e nella trasmissione di dati sensibili che nel 2014 ha esposto password e carte di credito in due terzi dei siti web.

Che cosa fare? Gli esperti consigliano cambiare le proprie password e per una maggiore sicurezza di attivare l’autenticazione a due fattori cioè basata oltre che su una password, su un codice ricevuto tipicamente tramite sms o app.

Anche Google è corsa ai ripari e ha chiesto a molti degli utenti di autenticarsi nuovamente reinserendo la propria password sui cellulari Android e iPhone.

Mountain View non usa direttamente Cloudflare, ma alcuni servizi passano dalla società.