BUG BOCORKAN DATA PENGGUNA CLOUDFLARE
Salah satu perusahaan penyedia layanan dan keamanan situs asal Amerika Serikat, Cloudflare mengalami kebocoran data pengguna akibat serangan bug pada sistem keamanannya.
Setidaknya ada ribuan situs klien CloudFlare terindikasi mengalami kebocoran data. Beberapa klien Cloudflare adalah Uber, Fitbit, OkCupid, dan 1Password. Data-data yang bocor meliputi informasi sensitif seperti kata sandi, cookies, termasuk token autentikasi dari sejumlah situs kliennya.
Cloudflare telah mengonfirmasi terjadinya kebocoran data dan mengklaim hanya sekitar 0,00003 persen data yang bocor. Meskipun sedikit, basis pelanggan besar Cloudflare merupakan situs kencan atau manajemen kata sandi yang memuat data sensitif.
Tavis Ormandy (Peneliti keamanan dari Google Project Zero) adalah orang pertama yang menemukan keberadaan bug tersebut dan langsung melaporkannya kepada Cloudflare. Ironisnya, celah keamanan Cloudflare telah bobol sejak 22 September 2016 lalu tanpa sepengetahuan Cloudflare.
Ormandy mengetahui kebocoran ketika menemukan sejumlah data tidak terduga dalam proyek yang sedang dijalankan. Awalnya, ia menyangka data itu merupakan bug dari kode yang ditulisnya.
Setelah pengujian lebih lanjut, ia menyadari kebocoran itu berasal dari CloudFlare. Bug itu muncul karena kesalahan pemrograman sehingga dalam kondisi tertentu potongan acak memori peladen (server) terkirim ke halaman situs.
Kebocoran data Cloudflare paling parah terjadi antara 13-18 Februari, menyusul para peretas dapat mengakses data tersebut secara real-time atau melakukannya melalui cache mesin pencari.
John Graham Cumming (Chief Technology Officer Cloudflare) mengakui pada 13-18 Februari ada sebanyak 120 ribu informasi yang bocor setiap harinya. Namun, informasi yang bocor tidak bersifat rahasia.
“Tidak ada bukti peretas telah menemukan atau memanfaatkan bug tersebut. CloudFlare memastikan tidak ada aktvitas aneh di jaringan mereka seperti peretas mencoba mengakses data dari situs kliennya,” ujarnya seperti dikutip Reuters.