Een lek in de CloudFlare-infrastructuur heeft persoonlijke en gevoelige gegevens blootgelegd, van wachtwoorden en volledige tekstberichten tot API sleutels en cookies. CloudFlare voorziet SSL-encryptie voor miljoenen websites. Het bedrijf maakte de problemen gisteren wereldkundig via een blogbericht.

Het veiligheidsprobleem werd gespot door Tavis Ormandy, een veiligheidsexpert van Google. Hij bracht het bedrijf op de hoogte van het lek. “Ik realiseerde me niet hoeveel van het internet achter een CloudFlare CDN zit tot dit incident,” aldus Ormandy. Berichten op dating sites, chatberichten, wachtwoorden uit wachtwoordmanagers, hotelreserveringen: het zijn allemaal gegevens die Ormandy kon opsporen door het geheugenlek.

De bug werd pas gevaarlijk werd toen het bedrijf overstapte naar een andere parser, cf-html. “Cf-html veranderde het bufferen subtiel, wat het lek mogelijk maakte, ook al was er geen probleem met cf-html zelf.” Hierdoor zou er mogelijk al vanaf 22 september 2016 gegevens zijn gelekt. CloudFlare zelf stelt dat de grootste periode van impact tussen 13 en 18 februari was. In die periode “resulteerde ongeveer 1 in elke 3.300.000 HTTP verzoeken via CloudFlare potentieel in het lekken van gegevens.”

Het lek is ondertussen gedicht en heeft de onofficiële naam ‘Cloudbleed’ gekregen, naar analogie met de Heartbleed-bug in OpenSSL. Sommige van de gelekte pagina’s zijn gecacht door zoekmachines, waardoor bepaalde gegevens nog altijd op straat kunnen liggen.

Alles bij de bron; TechPulse