BABAT POST – Cloudflare merupakan salah satu perusahaan penyedia layanan serta kemanan situs yang berasal dari Amerika Serikat. Semua itu diakibatkan oleh Bug. Adapun data yang bocor seperti informasi sensitif, seperti kata sandi, cookies, termasuk token autentikasi dari sejumlah situs kliennya.
Beberapa klien Cloudflare adalah Uber, Fitbit, OkCupid, dan 1Password. Menurut laporan, setidaknya ribuan situs klien CloudFlare terindikasi mengalami kebocoran data. Keberadaan bug ini ditemukan peneliti keamanan dari Google Project Zero bernama Tavis Ormandy yang melaporkannya ke Cloudflare. Namun, celah keamanan di sistem perusahaan itu ternyata telah aktif sejak 22 September 2016 lalu.
Ia menyebut kebocoran yang disebabkan bug ini sebagai Cloudbleed, mengacu pada Heartbleed yang sempat heboh beberapa tahun lalu. Pria asal Inggris itu mengetahui kebocoran ini saat menemukan sejumlah data tak terduga dalam proyek yang sedang dijalankan.
Awalnya, ia menyangka data itu merupakan bug dari kode yang ditulisnya. Setelah pengujian lebih lanjut, ia menyadari kebocoran itu berasal dari Cloudflare. Bug itu muncul karena kesalahan pemrograman, sehingga dalam kondisi tertentu potongan acak memori peladen (server) terkirim ke halaman situs.
Kebocoran paling parah terjadi antara 13-18 Februari, saat sekitar 1 dari 3.300.000 permintaan HTTP ke situs Cloudflare yang mengakibatkan sejumlah data bocor. Ketika itu, diperkirakan peretas dapat mengakses data tersebut secara real-time, atau melakukannya melalui cache mesin pencari.
Cloudflare telah mengetahui masalah ini dan mengklaim hanya sekitar 0,00003 persen data yang bocor dari permintaan itu. Meskipun sedikit, basis pelanggan besar Cloudflare merupakan situs kencan atau manajemen kata sandi yang memuat data sensitif.
Menurut Chief Technology Officer Cloudflare John Graham Cumming, saat puncak kasus memang ada sekitar 120 ribu informasi yang bocor untuk satu permintaan per hari. Namun, ia memastikan kebocoran itu tak berisi infomasi rahasia dan tak lebih dari informasi acak.
Selain itu, ia juga mengatakan sejauh ini tak ada bukti yang menyebut peretas telah menemukan atau memanfaatkan bug tersebut. Perusahaan memastikan tak ada aktvitas aneh di jaringan mereka, seperti peretas mencoba mengakses data dari situs kliennya.
Tim Cloudflare di San Fransisco dan London pun dilaporkan telah bekerja keras untuk mengatasinya. Sejumlah masalah besar diklaim telah berhasil diatasi sekitar tujuh jam, tapi untuk mengatasi seluruh bug itu diperkirakan menghabiskan waktu enam hari.
