CDN- ja DNS-palveluja sekä DDoS-suojausta myyvällä Cloudflarella on sellainen järjestely, että tietoturva-aukoista ja -haavoittuvuuksista raportoivat tahot palkitaan. Sen järjestelyn nimi on Cloudflare Vulnerability Disclosure Policy. Se esitellään kattavasti firman nettisivuilla, ja kyseisen esittelyn alussa lukija huomaa ensimmäiseksi Cloudflaren väittävän ottavan turvallisuuden, luotettavuuden ja läpinäkyvyyden vakavasti. Mutta palkinnot kertovat tarkalleen kuinka vakavasti… Palkinnoksi voi saada nimen jollekin toplistalle, t-paidan ja kaiken kukkuraksi joksikin aikaa Cloudflaren Pro- tai Business-palvelun.
Cloudbleed
Tietovuodolle on annettu lempinimeksi ”cloudbleed”. Googlen Project Zerossa kerrottiin ensimmäisenä tästä Cloudflaren laajasta ja pitkään kestäneestä tietovuodosta. Vuodon havainneen Tavis Ormandyn mukaan Cloudflaren käyttäjille on kuukausien ajan tarjottu vääriä tietoja, siis eri nettisivuille kuuluvia tietoja. Ormandy kirjoittaa: I’m finding private messages from major dating sites, full messages from a well-known chat service, online password manager data, frames from adult video sites, hotel bookings. We’re talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything.
(Lähde)
