Nieuws

CloudFlare-lek maakt wachtwoorden openbaar

CloudFlare, dat de beveiliging van miljoenen websites behartigt, heeft gedurende een periode belangrijke gegevens gelekt, waaronder wachtwoorden en volledige berichten.

Een lek in de CloudFlare-infrastructuur heeft persoonlijke en gevoelige gegevens blootgelegd, van wachtwoorden en volledige tekstberichten tot API sleutels en cookies. CloudFlare voorziet SSL-encryptie voor miljoenen websites, waaronder e-commercebedrijven zoals het Nederlandse wehkamp. De problemen werden onlangs wereldkundig gemaakt via een blogbericht.

Datingsites en hotelreserveringen

Het veiligheidsprobleem werd gespot door Tavis Ormandy, een veiligheidsexpert van Google. Hij bracht het bedrijf op de hoogte van het lek. “Ik realiseerde me niet hoeveel van het internet achter een CloudFlare CDN zit tot dit incident,” aldus Ormandy. Webshops werden getroffen, maar ook kon Ormandy door het geheugenlek zaken opsporen als berichten op datingsites, chatberichten, wachtwoorden uit wachtwoordmanagers, en hotelreserveringen.

Bufferproblemen

Dat lek is ondertussen gedicht. Het ging om een bug die volgens CloudFlare al jaren ongedetecteerd in zijn Ragel-gebaseerde parser zat maar nooit opspeelde door de manier waarop de interne buffers werden gebruikt. De bug werd pas gevaarlijk werd toen het bedrijf overstapte naar een andere parser, cf-html. “Cf-html veranderde het bufferen subtiel, wat het lek mogelijk maakte, ook al was er geen probleem met cf-html zelf.”

 

Hierdoor zou er mogelijk al vanaf 22 september 2016 gegevens zijn gelekt. CloudFlare zelf stelt dat de grootste periode van impact tussen 13 en 18 februari was. In die periode “resulteerde ongeveer 1 in elke 3.300.000 HTTP verzoeken via CloudFlare potentieel in het lekken van gegevens.”

Cloudbleed

Het lek heeft ondertussen de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL. Het is niet duidelijk of er misbruik is gemaakt van de bug. Een onderzoek naar mogelijke databases met gelekte informatie op websites als PasteBin leverde niets op. Feit is wel dat sommige van de gelekte pagina’s gecacht werden door zoekmachines, waardoor bepaalde gegevens nog altijd op straat kunnen liggen.

 

Wehkamp, de Nederlandse webshop die ook in België actief is en op Cloudflare vertrouwde, vertelt aan de Nederlandse collega’s bij Twinkle onderzoek te hebben gedaan naar aanleiding van de berichtgeving over Cloudflare. ‘Wij controleren zelf dagelijks de systemen en zijn natuurlijk alert op eventuele lekken. Ik kan zeggen dat wij niet geraakt zijn door de softwarefout bij Cloudflare’, aldus een woordvoerster.

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken