A CloudFare revelou nesta sexta-feira que uma falha em seus sistemas fez com que informações sensíveis de vários sites, como senhas e dados de autenticação, fossem vazadas ao longo de meses. A empresa presta serviços de otimização de conteúdo e segurança para mais de 5 milhões de sites, entre eles, o Uber. Entre as páginas que podem ter sido afetadas estão Change.org, Medium, 4chan, Yelp e Thepiratebay, segundo uma lista divulgada pelo site de tecnologia Gizmodo. 

Além de senhas, também podem ter sido reveladas mensagens privadas de sites de namoro, dados de reservas de hotéis, e até informações de sites de conteúdo adulto.A CloudFare diz que já corrigiu o problema, detectado no dia 18 de fevereiro por uma equipe de segurança do Google, e a suspeita é de que os vazamentos  tenham ocorrido desde setembro de 2016. A companhia diz que não revelou a falha imediatamente – como é comum em casos do tipo – porque descobriu que essas informações vazadas estavam sendo armazenadas automaticamente pelo serviço do Google que salva as versões “em cache” dos sites da internet.

A empresa alega que quis se certificar que os caches com as informações vazadas tivessem sido apagados antes de fazer a divulgação, para que não fossem explorados por hackers. A CloudFare diz que não tem evidência de que tenham sido feitos ataques ou uso mal-intencionado dessas informações.

O Uber disse, em nota a VEJA na noite desta sexta-feira, que fez uma análise após tomar ciência da falha de segurança, mas não detectou acessos indevidos. A empresa diz que as senhas dos usuários não foram expostas e, por isso, não precisam ser trocadas.

Falha

Os vazamentos da CloudFare aconteciam por um problema de codificação e afetou as páginas dos seus clientes. Quando um usuário acessa o site dessas empresas, o arquivo passa pelos servidores da Cloudfare para ser otimizado. Nesse processo, o normal é que os computadores codifiquem (criptografem) informações sensíveis, como senhas, antes de enviá-las pela internet. Mas o bug fazia com que algumas das trocas de mensagens circulassem sem ser criptografadas, podendo ser lidas por pessoas ou outros computadores.

Apesar de ter atingindo uma pequena porcentagem (0,00003%) dos acessos, o imenso volume de tráfego de informações pelos seus servidores fez com que a empresa classificasse o incidente como “grave”.