Cloudflare lekte geheugen met vertrouwelijke data websites
Door een geheugenlek bij internetdienst Cloudflare zijn de wachtwoorden, encryptiesleutels, cookies en andere gevoelige gegevens van een onbekend aantal websites gelekt die van de Cloudflare SSL Proxy gebruikmaakten. Het beveiligingsprobleem, dat inmiddels "Cloudbleed" wordt genoemd, werd door onderzoeker Tavis Ormandy van Google ontdekt.
Tijdens een ander onderzoek ontdekte Ormandy dat de servers van Cloudlare geheugen lekten. "Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger", aldus Ormandy. Bij het inspecteren van het gelekte geheugen ontdekte hij encryptiesleutels, priveberichten, hotelboekingen, wachtwoorden, delen van POST-data en zelfs https-verzoeken van andere grote bij Cloudflare gehoste websites die van andere gebruikers afkomstig waren, alsmede ip-adressen van gebruikers van deze websites. "Zelfs onversleutelde api-verzoeken van een populaire wachtwoordmanager die via https waren verstuurd. "Ormandy stopte direct met het verdere onderzoek en waarschuwde Cloudflare.
"De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen", aldus de onderzoeker in een rapport over het beveiligingsprobleem. Cloudflare wist het probleem snel te achterhalen en schakelde verschillende features uit die van het kwetsbare onderdeel gebruikmaakten. De internetdienst benadrukt dat de ssl-privé sleutels van klanten niet zijn gelekt.
De periode waarin gegevens kunnen zijn gelekt bevindt zich tussen 22 september 2016 en 18 februari 2017. De meeste gegevens zouden echter vanaf 13 februari zijn gelekt. Het zou gaan om 0,00003 procent van alle http-verzoeken waarbij er geheugen kon lekken. Een bijkomend probleem was dat zoekmachines het gelekte geheugen hadden gecacht. Voor de openbaarmaking van de kwetsbaarheid zijn dan ook alle geïndexeerde gegevens verwijderd. Het ging in totaal om 770 unieke uri's die op 161 unieke domeinen betrekking hadden.
Uiteindelijk werd het probleem binnen 7 uur opgelost, waarbij de eerste noodoplossing 47 minuten na de melding van Ormandy was uitgerold. Hoeveel en welke websites door de kwetsbaarheid zijn getroffen laat Cloudflare in een eigen rapport over het incident niet weten. Ormandy meldt echter op Twitter dat het onder andere om https-sessies van gebruikers bij Uber, 1Password, FitBit en OKCupid gaat.
Wat voor consequenties heeft dat voor security.nl?
Waarom schrijft security.nl daar niet over?
Zijn alle security.nl gebruikers gewaarschuwd met een verzoek de account passwords te veranderen?
Waarom zo geheimzinnig?
We gaan naar de klote als we niet serieus een aantal zaken aan gaan pakken.
Wat voor consequenties heeft dat voor security.nl?
Waarom schrijft security.nl daar niet over?
Zijn alle security.nl gebruikers gewaarschuwd met een verzoek de account passwords te veranderen?
Waarom zo geheimzinnig?
Omdat ze misschien bezig waren met het volgende:
https://www.security.nl/posting/505132/Security_NL+incident-reponse+Cloudflare-kwetsbaarheid
0,00003 procent van heeeeeeeeeeel veeeeeeeeeel is nog steeds heeeeeel veeeeel.
No oS
Ben benieuwd hoe veel Nederlandse bedrijven hierdoor op achterstand werden gezet. De economische impact zal ook niet gering zijn. De globale spelers zorgden erg goed voor zichzelf en de boze vingertjes werden steeds richting het oosten geheven.
Maar eenmaal bedrogen, ga je er dan nogmaals in zee? Security.nl heeft haar lesje geleerd. En die yanks, die helpen zo alleen maar dat hun eigen verkozen isolationisme vaste voet krijgt.
alle passwords over de open cloutfake lijn en voor een half jaar lang gecached terug te vinden bij zoekmachines?
Mitm services zijn ruk!
Hey die heb ik ook! Ik heb hem snel wijzigen ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.