Datalek bij bedrijf dat miljoenen websites online houdt
Cloudflare, een netwerkbedrijf dat ruim 5,5 miljoen websites onder meer beschermt tegen offline gaan tijdens digitale aanvallen, heeft last gehad van een datalek. Hierdoor was het voor kwaadwillenden mogelijk om gevoelige informatie te stelen van klanten, waaronder ook Nederlandse sites zoals Wehkamp en Geenstijl. Het probleem is inmiddels opgelost.
Dat heeft Tavis Ormandy, beveiligingsonderzoeker bij Google, ontdekt. In een test zag hij dat via het lek onder meer wachtwoorden, cookies van websites en digitale sleutels waarmee beveiliging is uit te schakelen, te downloaden waren. Volgens Cloudflare zijn er geen aanwijzingen dat er misbruik is gemaakt van het lek.
Wachtwoord aanpassen
"Websites zoals webwinkels, die gebruikmaken van Cloudflare, moeten nu snel hun gebruikers inlichten en vragen om hun wachtwoord aan te passen", zegt Leander Lakkas van hostingprovider True. "Het is niet te zeggen of gegevens daadwerkelijk zijn gestolen, maar je moet het risico niet willen nemen."
Bovengenoemde gegevens zoals wachtwoorden zitten in het geheugen van de servers van Cloudflare. Normaal gesproken zorgt software ervoor dat eerst wordt gekeken wie welke informatie mag ontvangen. Maar door een fout in die software, stond de 'digitale deur' gewoon open. Iedereen die dit zag, kon de informatie opvragen.
De kans dat dit gebeurde was één op de 3,2 miljoen. Dat klinkt als extreem klein, maar is voor een groot netwerkbedrijf als Cloudflare toch nog een aanzienlijk risico.
Daarnaast waren de gegevens ook vindbaar via zoekmachines zoals Google en Bing. Cloudflare moest deze bedrijven vragen de informatie handmatig te verwijderen.
Het lek bestaat waarschijnlijk al sinds 22 september vorig jaar. Pas deze maand is het door Ormandy ontdekt. Dat betekent dat de fout vijf maanden ongezien in het systeem heeft gezeten.
Lijst met websites
Er is inmiddels ook een onofficiële lijst beschikbaar van websites die mogelijk slachtoffer zijn geworden van het datalek. Hierop staan ook acht Nederlandse websites. Volgens de maker is het allerminst zeker dat al deze sites problemen hebben; hij wilde de lijst zo compleet mogelijk maken en verwacht het aantal later terug te brengen.
Een onofficiële site die controleert of een website gebruikmaakt van Cloudflare meldt dat zes van de acht genoemde Nederlandse sites inderdaad gebruikmaken van de netwerkdienst.
Daarnaast worden ook andere bekende Amerikaanse websites genoemd, zoals die van taxidienst Uber, blogsite Medium en recensie-site Yelp. Ook fitnessmaker Fitbit, die veel medische gegevens over gebruikers verzamelt, zou door het lek getroffen zijn.