Mogelijke gevoelige data gelekt

Ernstig lek Cloudflare maakt vertrouwelijke data kwetsbaar

vr, 24/02/2017 - 09:28

Door: Redactie WINMAG Pro

Internetdienst Cloudflare heeft mogelijk gevoelige gegevens als wachtwoorden, encryptiesleutels en cookies verloren zien gaan vanwege een beveiligingsprobleem.

Onderzoek

Google-onderzoeker Travis Ormandy ontdekte het lek, zo valt te lezen in het rapport. Het probleem is dusdanig groot dat het al de naam Cloudbleed gekregen heeft. Volgens Ormandy is het lek erger dan het bekende Heartbleed.

Door Cloudbleed liggen mogelijk gegevens van de door Cloudflare gehoste websites op straat. Het gaat daarbij ook om privéberichten, hotelboekingen, https-verzoeken en IP-adressen. Door de omvang stopte Ormandy direct met het onderzoek om Cloudflare in te lichten.

Oplossing

De internetdienst achterhaalde het lek snel en rolde 47 minuten na melding van Ormandy de eerste noodoplossing uit. Binnen 7 uur was het probleem opgelost. Cloudflare meldt op zijn website dat er geen SSL-privé sleutels gelekt zijn.

Gegevens kunnen tussen 22 september 2016 en 18 februari gelekt zijn. Het gros daarvan gebeurde pas vanaf 13 februari. Het zou gaan om 0,00003 procent van de http-verzoeken. Op Twitter laat Ormandy weten dat onder andere Uber, 1Password, Fitbit en OKCupid getroffen zijn.