De privégegevens van honderdduizenden internetgebruikers waren per ongeluk te achterhalen door een lek bij de dienst Cloudfare. Daarbij zaten ook inloggegevens. Tavis Ormandy, beveiligingsonderzoeker bij Google ontdekte het probleem; Cloudfare heeft het inmiddels opgelost.
Slachtoffers hoeven zelf niet direct klant te zijn bij Cloudflare. Het is namelijk een dienst die sites gebruiken om te zorgen dat ze sneller werken en DDoS-aanvallen worden voorkomen. Je gebruikt Cloudflare als internetgebruiker zodra je klanten van de dienst bezoekt, zonder het door te hebben. En honderdduizenden sites gebruiken deze dienst. Onder meer Uber, Fitbit en OkCupid zouden getroffen zijn.
Volgens CloudFlare lekten tussen 13 en 18 februari gegevens uit bij 0,00003 procent van de bezoeken aan websites van klanten. Totaal gaat het om 120.000 verbindingen per dag waarbij het beveiligingsprobleem zich voordeed. Maar ook voor februari zou het in mindere mate een probleem zijn geweest, het lek bestond al sinds september.
Geen misbruik
Het goede nieuws: voor zo ver bekend is er echter geen misbruik gemaakt van het probleem en er is ook niet daadwerkelijk data gestolen.
Wat voor CloudFlare wel vervelend is, is dat naast de data van internetters ook een beveiligingssleutel van het bedrijf zelf openbaar is geworden. Het bedrijf is heel open in de communicatie over het probleem, heeft het gedetailleerd uitgelegd en geeft ook welke lessen het leert uit de situatie.