O Cloudflare é uma plataforma bastante usada para proteção e otimização de conteúdos na internet, sendo usada por milhares de sites e plataformas diferentes. No entanto, um investigador descobriu recentemente que uma falha na plataforma poderia permitir expor a localização dos utilizadores em plataformas seguras, como o Signal e Discord, bastando enviar uma imagem pelas mesmas.
Embora a localização obtida não seja exata, pode ser o suficiente para fornecer uma ideia geral de onde o utilizador se encontra, e certamente que poderia ter algumas utilizações maliciosas.
O investigador, conhecido na X como @hackermondev, revelou que faz três meses que a falha foi descoberta. Para as suas plataformas de otimização, o Cloudflare coloca os ficheiros dos sites em servidores próximos dos utilizadores – mesmo que o servidor de origem destes esteja noutra região. Isto será algo fundamental para as capacidades de CDN da plataforma.
Usando algumas funcionalidades igualmente existentes no Cloudflare, nomeadamente o Cloudflare Workers e Cloudflare Teleport. Usando estas duas funcionalidades, o investigador descobriu ser possível analisar de onde foram realizados os pedidos – que estarão sempre nos servidores mais perto dos utilizadores que abriram a imagem.
Tecnicamente, isso será o suficiente para dar uma localização aproximada de onde os utilizadores se encontram – mas os sistemas da Cloudflare podem ter uma distância relativamente grande entre onde se encontram localizados e a localização dos utilizadores. Para dar uma precisão ainda maior, se na zona existirem outros sistemas da Cloudflare, é possível realizar uma localização ainda mais aproximada.
Tudo o que seria necessário para tal seria as vítimas abrirem uma simples imagem, que poderia ser enviada via plataformas que fazem uso do Cloudflare, como o Discord e Signal. Além disso, a informação poderia ser obtida sem qualquer interação do utilizador, para além de simplesmente abrir a imagem.
Depois de ter descoberto a falha, o investigador contactou a Cloudflare expondo a mesma, tendo sido recompensado em 200 dólares. A falha foi também corrigida no Cloudflare Workers, mas o investigador afirma que ainda é possível usar uma VPN para tentar realizar a localização – embora seja mais complicado e menos preciso.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech