Cloudbleed - Cloudflare Datenleck

  • Hallo,


    zwischen dem 22.09.2016 und dem 18.02.2017 wurden Session-Token, Passwörter, private Nachrichten, API-Schlüssel und andere, sensitive Daten durch zufällige Personen geleakt. Daten wurden von Suchmaschinen zwischengespeichert und eventuell auch Konkurrenten könnten Daten über die vergangenen Monate gesammelt haben.


    "The greatest period of impact was from February 13 and February 18 with around 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulting in memory leakage (that’s about 0.00003% of requests), potential of 100k-200k paged with private data leaked every day"


    Von welchen Seiten welche Daten abgegriffen wurden, ist nicht bekannt. Allerdings gibt es eine Liste möglicher, betroffener Domains, die ihr hier herunterladen könnt. Gelistet sind neben softcreatr.de auch woltlab.de, woltlab.info und woltlab.org. Wobei man dazu sagen muss, dass potentiell jede Domain betroffen ist, die Cloudflare nicht nur für DNS verwendet.


    Als Konsequenz aus diesem Leak habe ich kurz nach Bekanntwerden alle aktiven Sitzungen in sämtlichen, von mir verwalteten (und über Cloudflare gerouteten) Communities gelöscht (da mehr Antwort-Daten als Anfrage-Daten geleakt wurden), die für jeden User generierten accessToken in der Datenbank wurden neu generiert¹ und auch die Kosten für die im WCF/WSC verwendete bcrypt-Hashfunktion wurde von initial 8 auf 12 erhöht². Diese Änderung zieht keinerlei Nachteile nach sich, eure Kennwörter werden automatisch mit dem nächsten Login korrigiert bzw. neu verschlüsselt.


    Mittlerweile sind gut zwei Wochen vergangen, daher werde ich im Laufe des Abends noch einmal sämtliche Sitzungen löschen und den Cookie-Präfix abändern, um zu gewährleisten, dass jeder Benutzer sich neu einloggen muss. Zudem werde ich euch optional Zwei-Faktor-Authentifizierung anbieten, mit dessen Hilfe ihr euch zusätzlich absichern könnt.


    In diesem Sinne noch ein angenehmes, sicheres Surfen hier im Forum :)


  • Kleiner Nachtrag:


    Da auch 1Password (und sicher einige andere Passwort-Manager) Cloudflare verwendet, ist es ratsam, eure Kennwörter überall einmal zu ändern, obgleich zumindest 1Password in der Hinsicht als sehr sicher gilt. Zumindest minimal. Denn auch wenn zu keinem Zeitpunkt gezielt Daten irgendwo abgegriffen werden konnten, kann niemand mit Bestimmtheit sagen, ob und welche sensitiven Informationen zu welchem Zeitpunkt auf welchen Internetseiten zugänglich waren.