Cloudflare ha publicado los resultados de una auditoría de privacidad de su servicio DNS 1.1.1.1 que respalda la declaración de Cloudflare sobre cómo se almacenan y recopilan los datos de consulta DNS en sus servidores.
Después de lanzar su servicio DNS 1.1.1.1 en 2018, la gente se preocupó de que Cloudflare estaba utilizando los datos recibidos del uso de sus solucionadores DNS como una moneda que podría venderse a terceros o enriquecer a la compañía de alguna manera.
Sin duda, sería beneficioso tener grandes cantidades de datos sobre los sitios que visitan las personas, Cloudflare siempre ha declarado que priorizan la privacidad cuando diseñaron su servicio 1.1.1.1 al borrar los registros dentro de las 24 horas y nunca escribir la dirección IP completa de los usuarios en losregistros .
“Comenzamos a hablar con los fabricantes de navegadores acerca de lo que desearían de un solucionador de DNS. Una palabra seguía apareciendo: privacidad. Más allá del compromiso de no usar datos de navegación para ayudar a orientar anuncios, querían asegurarse de que borramos todos los registros de transacciones dentro de una semana. Esa fue una solicitud fácil. De hecho, sabíamos que podíamos ir mucho más lejos. Nos comprometimos a nunca escribir las direcciones IP de consulta en el disco y borrar todos los registros en 24 horas “. – Cloudflare
Incluso con estas promesas, con las grandes porciones de Internet que ya utilizan sus servicios, los usuarios todavía estaban preocupados por la enorme cantidad de datos que se introducen en Cloudflare.
Esto se exacerbó aún más cuando Cloudflare se convirtió en el solucionador de DNS predeterminado en Firefox para la implementación de DNS sobre HTTPS del navegador.
Para aliviar las preocupaciones del usuario, Cloudflare contrató a una firma de auditoría independiente, KPMG, para realizar una auditoría de privacidad del servicio DNS 1.1.1.1.
Auditoría de privacidad para el servicio 1.1.1.1 de Cloudflare lanzado
Hoy Cloudflare ha publicado los resultados de la auditoría de KPMG y aunque la auditoría mostró que Cloudflare mantiene su palabra sobre cómo maneja los datos del usuario, se descubrieron algunos problemas que requerían cambios en las divulgaciones de privacidad de Cloudflare.
Por ejemplo, Cloudflare declaró originalmente que nunca se escriben en el disco direcciones IP de consulta. Sin embargo, la auditoría de KPMG descubrió que la implementación de monitoreo de Cloudflare Netflow / Sflow en toda la red retendría “.05% de todos los paquetes” que pasan a través de su red, incluidas las direcciones IP de las consultas DNS.
“Queremos ser completamente transparentes para que durante el examen descubramos que nuestros enrutadores capturan aleatoriamente hasta el 0.05% de todas las solicitudes que pasan por ellos, incluida la dirección IP de consulta de los usuarios de resolución. Hacemos esto por separado del servicio 1.1.1.1para todo el tráfico que pasa a nuestra red y conservamos dichos datos durante un período de tiempo limitado para su uso en relación con la resolución de problemas de la red y la mitigación de los ataques de denegación de servicio “, declaró John Graham-Cumming, CTO de Cloudflare, en una publicación de blog .
Cloudflare también había declarado que todos los registros se borraron dentro de las 24 horas, pero la auditoría reveló que los registros se borraron dentro de las 25 horas y que algunos datos anónimos se mantienen indefinidamente.
Según la auditoría de KPMG, si bien se encontraron algunos problemas, se descubrió que Cloudflare estaba configurado de una manera que respalda sus compromisos públicos con la privacidad.
Para aquellos problemas que se descubrieron, Cloudflare ha actualizado sus compromisos de privacidad para reflejar los resultados de esta auditoría e incluir un lenguaje que explique cómo se pueden retener algunos datos debido a la supervisión de la red.
