Bir güvenlik araştırmacısı, Cloudflare’ın belirli görüntüleri önbelleğe alış şeklini kötüye kullanacak bir yol keşfetti. Bu yöntem, dışarıdaki kişilerin kısmen anonim kişileri tespit etmelerine izin verebilir. Bulgu hızla düzeltildi ve Cloudflare kullanıcılarına güvence verdi.

Uzmanlar, bazı iletişim platformlarında sadece bir resim göndererek bir kişiyi kısmen anonimleştirmenin ve genel konumunu bulmanın bir yolunu buldular. Bu, son zamanlarda Cloudflare’ın içerik dağıtım ağı (CDN) içinde bir zayıflık bulan 15 yaşındaki bir siber güvenlik araştırmacısı olan Daniel’a göre gerçekleşti. Bu zafiyet teoride basit: Cloudflare, insanların iletilerini ve multimedya içeriğini mümkün olan en hızlı şekilde almasını istiyor. Bu nedenle gönderilen görüntüler, alıcıya en yakın olan bir veri merkezinden geçer. Saldırgan, hangi veri merkezinin olduğunu öğrenebilirse, hedefin konumu hakkında net bir fikir edinebilir.

Daniel, Cloudflare’ın önbelleğin en çok kullanılan özelliğinden birinin bulut depolama olduğunu belirtiyor. Cloudflare’ın önbelleği, sık erişilen içeriğin (görüntüler, videolar veya web sayfaları gibi) kopyalarını veri merkezlerinde saklar, sunucu yükünü azaltır ve web sitesi performansını artırır. Bazı uygulamalar, örneğin Signal veya Discord, görüntünün küçük bir görüntüsünü bildirimde gösterdiğinden, bu bir tıklama zafiyeti haline gelir. Daniel ayrıca Cloudflare’ın bir HTTP yanıtında bir isteğin önbellek durumu hakkında bilgi döndürdüğünü ve veri merkezinin en yakın havaalanına ait kodu içerdiğini açıklıyor.

Birkaç ay sonra bulgu keşfedildikten sonra Cloudflare tarafından düzeltildi; şirket BleepingComputer’a Aralık 2024’te açıklanan ve “hemen çözülen” dedi. “GitHub’da “Cloudflare Teleport” projesi üzerinden belirli veri merkezlerine istek gönderme yeteneği hemen ele alındı – güvenlik araştırmacısı açıklamasında belirttiği gibi. Güvenlik takımının çalışma kutusunun önemli bir parçası olduğuna inanıyoruz ve üçüncü tarafları ve araştırmacıları bu tür etkinlikleri bizim ekibimiz tarafından incelenmek üzere bildirmeye devam
etmeye teşvik etmeye devam ediyoruz.”