Una de las cualidades de Bitcoin más apreciada es la protección de la identidad de sus usuarios, pero al igual que la gran mayoría de las plataformas web, aquellas que proporcionan servicios con monedas digitales basadas en la blockchain requieren algo más que un usuario y una contraseña para proteger la información procesada. Por eso, millones eligieron usar el servicio de seguridad Cloudflare, pero ahora se descubrió que el servicio estaba expuesto a fugas de información y ataques.
Las fallas en el servicio de seguridad fueron silenciosas. El goteo de información de millones de usuarios pasó desapercibido desde septiembre de 2016, hasta que se emitió una alertado por parte de Tavis Ormandy, experto de Project Zero. «Me tomó cada onza de fuerza no llamarlo «Cloudbleed»‘, escribió Ormandy, refiriéndose al reporte con el que fue notificado al equipo de seguridad sobre el goteo de información.
Estoy encontrando mensajes privados de sitios de citas muy usados, mensajes enteros de un servicio de chat muy conocido, datos de administración de contraseñas en línea, escenas de sitios de videos para adultos, reservas de hoteles. Estamos hablando de pedidos HTTP completos, direcciones IP de clientes, respuestas completas, cookies, contraseñas, claves, datos, todo.
Tavis Ormandy
Investigador de Seguridad
De acuerdo a Cloudflare, la falla se generó durante los constantes cambios y actualizaciones hechos progresivamente a este sistema. Como consecuencia, los datos personales de los usuarios de cientos de plataformas en línea estuvieron expuestos en motores de búsqueda como Google, Yahoo! y Bing por meses.
Las plataformas Bitcoin y blockchain no escaparon del peligro por la exposición de sus datos. Entre las compañías bajo alarma se encuentran Coinbase, BitPay, Poloniex, LocalBitcoins, Bitcoin.de y Kraken, de acuerdo a una lista publicada en GitHub.
Al ser clientes del servicio Cloudflare, las casas de cambio Poloniex y Kraken publicaron advertencias a sus usuarios, exhortándolos a cambiar inmediatamente contraseñas, factores de autenticación y claves API. «Esto afecta a muchos más sitios que Poloniex, incluyendo otras casas de cambio. Es imperativo el uso único de contraseñas y factores dobles de autenticación para todos los servicios», advirtió Poloniex en su cuenta oficial de Twitter.
1/3 IMPORTANT NOTICE: Due to the widespread impact of Cloudflare’s recently-discovered parser bug #cloudbleed…
— Poloniex Exchange (@Poloniex) 24 de febrero de 2017
Asimismo, la plataforma Kraken advirtió a sus clientes sobre la necesidad de protegerse ante la falla con el cambio pertinente de claves y contraseñas, asegurando que la plataforma no fue vulnerada, pero datos de cuentas individuales pudieron haber resultado filtradas.
Cloudflare anunció haber reparado la falla 7 horas luego de haber identificado el problema base, no obstante, deberá continuar trabajando para limpiar todos los datos residuales en servicios de búsqueda web. Hasta entonces, pese a la normalización del servicio, usuarios de plataformas Bitcoin y blockchain deberán acatar las precauciones recomendadas.
Imagen destacada por ElevenPaths
