Geheugenlek bij Cloudflare

Bij internetdienst Cloudflare zijn wachtwoorden, encryptiesleutels, cookies en andere gevoelige data van websites gelekt. Al deze sites gebruiken Cloudflare SSL Proxy. Het lek dat de naam ‘Cloudbleed’ heeft gekregen, is opgemerkt door onderzoeker Tavis Ormandy van Google.

De onderzoeker ontdekte ook dat de servers van Cloudflare geheugen lekten: “Net zoals Heartbleed, maar Cloudflare-specifiek en veel erger.” Cloudfare heeft zelf niet laten weten hoeveel sites slachtoffer zijn geworden. Volgens Ormandy gaat het onder meer om HTTPS-sessies van gebruikers bij 1Password, FitBit, OKCupid en Uber.

Wachtwoordmanager
Toen hij het gelekte geheugen nader onderzocht, vond Ormandy encryptiesleutels, privéberichten, hotelboekingen, passwords en delen van POST-data. Verder ontdekte hij HTTPS-verzoeken van andere, bij Cloudflare gehoste, websites. Ook trof hij IP-adressen aan van gebruikers van deze websites. “Zelfs onversleutelde API-verzoeken van een populaire wachtwoordmanager die via HTTPS waren verstuurd,” aldus de onderzoeker.

SSL-privésleutels
“De situatie was bijzonder, aangezien persoonlijk identificeerbare informatie tijdens het normale gebruik door crawlers en gebruikers werd gedownload. Ze begrepen alleen niet wat ze te zien kregen,” schrijft Ormandy in zijn rapport. Cloudflare zegt verschillende features uitgeschakeld te hebben. Volgens het bedrijf zijn er geen SSL-privésleutels van klanten op straat beland.

Aanmelden voor onze nieuwsbrief