Op 17 februari 2017 stuitte onderzoeker naar kwetsbaarheden van Google's Project Zero Tavis Ormandy op wat leek op een heel akelig datalek van Wolkenvlam, een bedrijf voor webprestaties en beveiliging. Hij snel contact opgenomen met de "juiste" mensen bij Cloudflare en de situatie werd in minder dan een uur behandeld.
Elk datalek kan aanzienlijk zijn. Zeker als een dienst meer dan een miljard gebruikers heeft. We verwijzen u door naar het Cloudflare-incidentrapport voor de volledige details van Wat gebeurd (waarschuwing: het is behoorlijk technisch). In termen van leken werden er gegevens gelekt die potentieel gevoelig waren. Deze gegevens waren voor iedereen beschikbaar, zelfs voor webspiders die door zoekmachines worden gebruikt. SSL-sleutels zijn niet gelekt.
De Cloudflare-functies die de getroffen HTML-parser gebruikten (verduistering van e-mail, serveruitsluitingen en automatische HTTPS-herschrijvingen) werden door veel bedrijven gebruikt. Hoogstwaarschijnlijk bedrijven waarbij u online accounts heeft. Dit betekent dat uw gegevens mogelijk zijn blootgesteld.
Mobile Nations maakt gebruik van enkele diensten van Cloudflare. Sterker nog, je vindt ons op de lijst rondzwerven op sites die mogelijk getroffen zijn. We hebben geverifieerd dat de betreffende services niet in gebruik zijn en ook nooit zijn gebruikt op Mobile Nations-sites.
Na onderzoek de kenmerken erachter #wolkbloeding (Email Obfuscation, SSE, HTTPS Rewrites) zijn nog nooit actief geweest @MobileNations sitesNa onderzoek de kenmerken erachter #wolkbloeding (Email Obfuscation, SSE, HTTPS Rewrites) zijn nog nooit actief geweest @MobileNations sites — Marcus Adolfsson (@madolfsson) 24 februari 201724 februari 2017
Bekijk meer
We kregen ook bericht van Cloudflare over het lek en zij hadden het volgende te zeggen:
Uw domein is niet een van de domeinen waar we blootgestelde gegevens hebben ontdekt in caches van derden. De bug is gepatcht, zodat er geen data meer lekt. We blijven echter met deze caches werken om hun records te bekijken en hen te helpen bij het opschonen van blootgestelde gegevens die we vinden. Als we tijdens deze zoekopdracht gegevens over uw domeinen ontdekken, nemen we rechtstreeks contact met u op en geven we u alle details van wat we hebben gevonden.
Zoek naar een soortgelijke verklaring van andere plaatsen waar u een account heeft voor informatie over uw gegevens die mogelijk zijn vrijgegeven.
Wat moet ik doen
Zoals bij de meeste grote beveiligingsinstanties, zullen we nooit de volledige details weten van wat er wel en niet is uitgelekt. We kunnen bevestigen dat we de services die als kwetsbaar werden genoemd niet gebruiken, maar we weten niet hoe iets anders op de servers van Cloudflare mogelijk is aangetast. Elke klant van Cloudflare zit in hetzelfde schuitje.
Dat betekent dat het tijd is om proactief te worden.
Wijzig het wachtwoord voor al uw online accounts
Ja, dit is klote, maar weet je wat nog meer klote is? Iemand toegang geven tot uw gegevens en toegang hebben tot dingen waarvan u niet wilt dat ze toegang hebben. Gebruik een wachtwoordbeheerder en laat het gekke wachtwoorden maken en deze voor u onthouden als u geen eigen wachtwoordbeheerroutine heeft. Als je in het verleden nog geen wachtwoordbeheerder hebt gebruikt, maar er een wilt uitproberen, is dit het perfecte moment.
Meer: Beste wachtwoordmanagers voor Android
Dit is ook een goed moment om te onthouden dat u uw wachtwoorden regelmatig moet wijzigen, waardoor een wachtwoordbeheerder een must is als u veel accounts heeft.
Schakel tweefactorauthenticatie in op elk account waarvoor dit als optie beschikbaar is
Als je tweefactorauthenticatie hebt ingeschakeld, kan iemand anders met je inloggegevens komen nog steeds heeft geen toegang tot uw account. Twee-factor-authenticatie kan soms ook lastig zijn, maar het is de beste manier om jezelf te beschermen wanneer er zich een grote datalek voordoet, zoals we nu zien.
Hier zijn enkele bronnen over tweefactorauthenticatie.
- Wat u moet weten over tweefactorauthenticatie
- Hoe u tweefactorauthenticatie instelt op uw Google-account
- Voeg een USB-beveiligingssleutel toe aan uw Google-account
- Draadloze beveiligingssleutels werken nu op Android
- Google-authenticator downloaden
- Lijst met websites en of ze 2FA ondersteunen of niet.
Niets dat we kunnen doen, kan dit soort datalekken voorkomen. Het belangrijkste is wat we kunnen doen om onszelf te beschermen als ze gebeuren,