CloudFlare lekte gebruikersdata
De internetdienst CloudFlare heeft door een fout wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van diverse sites gelekt. Het lek bevond zich in de Cloudflare SSL Proxy waarvan veel websites gebruik maken. De proxy is bedoeld om de performance van websites te verhogen.
Het beveiligingsprobleem wordt inmiddels "Cloudbleed" genoemd, en is afgeleid is van het eerdere HeartBleed lek in de OpenSSL software. Dit nieuwe lek is door onderzoeker Tavis Ormandy van Google ontdekt.
Volgens de onderzoeker lekte de servers van CloudFlare diverse gevoelige data. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Tijdens zijn onderzoek naar het gelekte geheugen ontdekte hij onder meer encryptiesleutels, priveberichten, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere websites die door CloudFlare worden gehost.
Na zijn ontdekking heeft hij het lek aan CloudFlare gemeld die inmiddels het lek provisorisch hebbem gedicht door diverse functies van het platform tijdelijk uit te schakelen. Zeven uur later werd er een definitieve patch uitgerold om het probleem op te lossen.
De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt.
De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Ook werd om veiligheidsredenen de cache van een aantal website verwijderd.
Inmiddels hebben diverse websites op internet, waaronder Security.nl en Fok hun gebruikers opgeroepen om hun wachtwoord aan te passen. De website PHPhulp maakt overigens geen gebruik van dit platform
Gerelateerde nieuwsberichten
21/06/2022 Storing bij Cloudflare legde sites plat
05/03/2020 Let's Encrypt trekt drie miljoen certificaten in na ontdekken bug
09/02/2020 Chrome gaat downloaden van bestanden via http blokkeren
Om te reageren heb je een account nodig en je moet ingelogd zijn.