CloudFlare-lek maakt gevoelige informatie van miljoenen websites openbaar
Een lek in de CloudFlare-infrastructuur heeft persoonlijke en gevoelige gegevens blootgelegd, van wachtwoorden en volledige tekstberichten tot API sleutels en cookies. CloudFlare voorziet SSL-encryptie voor miljoenen websites. Het bedrijf maakte de problemen gisteren wereldkundig via een blogbericht.
Datingsites en hotelreserveringen
Het veiligheidsprobleem werd gespot door Tavis Ormandy, een veiligheidsexpert van Google. Hij bracht het bedrijf op de hoogte van het lek. “Ik realiseerde me niet hoeveel van het internet achter een CloudFlare CDN zit tot dit incident,” aldus Ormandy. Berichten op dating sites, chatberichten, wachtwoorden uit wachtwoordmanagers, hotelreserveringen: het zijn allemaal gegevens die Ormandy kon opsporen door het geheugenlek.
Bufferproblemen
Dat lek is ondertussen gedicht. Het ging om een bug die volgens CloudFlare al jaren ongedetecteerd in zijn Ragel-gebaseerde parser zat maar nooit opspeelde door de manier waarop de interne buffers werden gebruikt. De bug werd pas gevaarlijk werd toen het bedrijf overstapte naar een andere parser, cf-html. “Cf-html veranderde het bufferen subtiel, wat het lek mogelijk maakte, ook al was er geen probleem met cf-html zelf.”
Hierdoor zou er mogelijk al vanaf 22 september 2016 gegevens zijn gelekt. CloudFlare zelf stelt dat de grootste periode van impact tussen 13 en 18 februari was. In die periode “resulteerde ongeveer 1 in elke 3.300.000 HTTP verzoeken via CloudFlare potentieel in het lekken van gegevens.”
Cloudbleed
Het lek heeft ondertussen de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL. Het is niet duidelijk of er misbruik is gemaakt van de bug. Een onderzoek naar mogelijke databases met gelekte informatie op websites als PasteBin leverde niets op. Feit is wel dat sommige van de gelekte pagina’s gecacht werden door zoekmachines, waardoor bepaalde gegevens nog altijd op straat kunnen liggen.
Een lek in de CloudFlare-infrastructuur heeft persoonlijke en gevoelige gegevens blootgelegd, van wachtwoorden en volledige tekstberichten tot API sleutels en cookies. CloudFlare voorziet SSL-encryptie voor miljoenen websites. Het bedrijf maakte de problemen gisteren wereldkundig via een blogbericht.
Datingsites en hotelreserveringen
Het veiligheidsprobleem werd gespot door Tavis Ormandy, een veiligheidsexpert van Google. Hij bracht het bedrijf op de hoogte van het lek. “Ik realiseerde me niet hoeveel van het internet achter een CloudFlare CDN zit tot dit incident,” aldus Ormandy. Berichten op dating sites, chatberichten, wachtwoorden uit wachtwoordmanagers, hotelreserveringen: het zijn allemaal gegevens die Ormandy kon opsporen door het geheugenlek.
Bufferproblemen
Dat lek is ondertussen gedicht. Het ging om een bug die volgens CloudFlare al jaren ongedetecteerd in zijn Ragel-gebaseerde parser zat maar nooit opspeelde door de manier waarop de interne buffers werden gebruikt. De bug werd pas gevaarlijk werd toen het bedrijf overstapte naar een andere parser, cf-html. “Cf-html veranderde het bufferen subtiel, wat het lek mogelijk maakte, ook al was er geen probleem met cf-html zelf.”
Hierdoor zou er mogelijk al vanaf 22 september 2016 gegevens zijn gelekt. CloudFlare zelf stelt dat de grootste periode van impact tussen 13 en 18 februari was. In die periode “resulteerde ongeveer 1 in elke 3.300.000 HTTP verzoeken via CloudFlare potentieel in het lekken van gegevens.”
Cloudbleed
Het lek heeft ondertussen de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL. Het is niet duidelijk of er misbruik is gemaakt van de bug. Een onderzoek naar mogelijke databases met gelekte informatie op websites als PasteBin leverde niets op. Feit is wel dat sommige van de gelekte pagina’s gecacht werden door zoekmachines, waardoor bepaalde gegevens nog altijd op straat kunnen liggen.