Datalek trekt CloudFlare

  1. 24 feb 2017
  2. 0 reacties

Gevoelige gegevens van klanten van CloudFlare zijn door een fout in de HTML-parser van CloudFlare toegankelijk geweest voor onbevoegden. Daarnaast werd de data geïndexeerd in de cache van zoekmachines. De problemen zijn inmiddels opgelost.

CloudFlare meldt op zijn blog dat de problemen zijn gemeld door Tavis Ormandy, een beveiligingsonderzoeker van Google’s Project Zero. Ormandy trok op 17 april aan de bel. CloudFlare stelt het probleem vervolgens binnen zeven uur te hebben opgelost. Het probleem zou zich hebben voorgedaan sinds september 2016.

Door een fout in de HTML-parser van het bedrijf bleek een klein aantal verzoeken te leiden tot een geheugenlek. Hierdoor konden gevoelige gegevens zoals HTTP-cookies, authentificatietokens en andere inloggegevens onbedoeld uitlekken. Een deel van deze informatie is gecached door zoekmachines en was hierdoor toegankelijk voor onbevoegden. CloudFlare stelt dat het probleem zich alleen in zeer ongebruikelijk omstandigheden voordeed. Bij zo’n 0,00003 procent van de website-aanvragen zou door het probleem gegevens zijn uitgelekt. CloudFlare benadrukt dat SSL private keys van klanten niet zijn uitgelekt.

Dossiers
Meer over
Lees ook
96% van de security professionals verwacht meer aanvallen op IIoT

96% van de security professionals verwacht meer aanvallen op IIoT

96 procent van de security professionals verwacht dat het aantal aanvallen op het Industrial Internet of Things (IIoT) toeneemt in 2017. Dit terwijl deze vorm van het IoT juist veel gebruikt wordt in kritieke sectoren. Dit blijkt uit onderzoek van leverancier van compliance- en beveiligingsoplossingen Tripwire in samenwerking met Dimensional Rese1

Zero-day kwetsbaarheid in Apache Struts2 wordt actief misbruikt

Zero-day kwetsbaarheid in Apache Struts2 wordt actief misbruikt

Cybercriminelen maken actief misbruik van een nieuwe kwetsbaarheid die is ontdekt in Apache Struts2, een open source framework voor het bouwen van Servlet-/JSP-gebaseerde webapplicaties op basis van de Model-View-Controller (MVC). Beheerders wordt geadviseerd zo snel mogelijk te upgraden naar versie 2.3.32 of 2.5.10.1. Het beveiligingsprobleem is1

Wikileaks wil techbedrijven exclusieve toegang geven tot cyberwapens CIA

Wikileaks wil techbedrijven exclusieve toegang geven tot cyberwapens CIA

WikiLeaks gaat enkele grote techbedrijven exclusieve toegang geven tot technische details over de cyberwapens van de CIA. Dit moet de bedrijven helpen kwetsbaarheden die door de Amerikaanse opsporingsdienst worden gebruikt te dichten. Dit heeft WikiLeaks-oprichter Julian Assange bekend gemaakt op een persconferentie in de Londense ambassade van E1