Cloudbleed: wachtwoorden in het wild

Gisterenavond kreeg ik een mailtje van de makers van mijn password-manager Dashlane over Cloudbleed en Cloudflare. Cloudbleed staat voor een bug bij de firma Cloudflare, waardoor allerlei informatie – wachtwoorden, chats enzovoort – op straat is komen te liggen. Het advies van Dashlane: verander onmiddellijk de wachtwoorden van de accounts die voor jou het meest belangrijk zijn in sterke wachtwoorden en zorg ervoor dat geen enkel wachtwoord hetzelfde is.

Het veranderen van de de wachtwoorden van de accounts die voor mij het meest belangrijk zijn… Dat zijn er nogal wat! Google, Apple, Microsoft, Facebook, Twitter, Adobe, Amazon en zo kan ik nog wel even doorgaan. Voor waar het mogelijk is heb ik wel dubbele authenticatie aanstaan, dus al zou mijn wachtwoord voor sites met dubbele authenticatie op straat liggen, daarmee kunnen ‘ze’ er toch niet in. Ze? Wie zijn ‘ze’?

Wie zijn ‘ze’?

Wie ‘ze’ zijn is ongewis. Het gaat niet om een inbraak op een server waarbij talloze wachtwoorden zijn buitgemaakt. Het gaat om een bug bij de firma Cloudflare die – een beetje eenvoudig gezegd – een beveiligd doorgeefluik is voor sites die bijvoorbeeld HTTPS gebruiken. Cloudflare wordt gebruikt door 5,5 miljoen sites. In de software die Cloudflare gebruikt bleek dus een bug te zitten waardoor die informatie – wachtwoorden, cookies, mailtjes, chats – ineens naar buiten lekten. Er is dus een lek (dat inmiddels razendsnel gedicht werd), maar het is niet zeker dat iemand met de informatie uit dat lek aan de gang is om in te breken op bijvoorbeeld uber.com, medium.com, feedly.com of fitbit.com.

Bij medium.com en feedly.com lees ik regelmatig verhalen, bij uber.com en fitbit.com heb ik een account. En dat zijn maar een paar sites waarvan ik weet, door een beetje zoeken over Cloudbleed, dat ze misschien last hebben van Cloudbleed. Veranderen dan maar die wachtwoorden! Vanuit mijn password manager gaat dat vrij eenvoudig.

Gebruik die dubbele authenticatie!

We schreven al eerder over het belang van unieke, ingewikkelde wachtwoorden voor elke site die je bezoekt. Het liefst zijn de wachtwoorden aangevuld met dubbele authenticatie (2-factor authentication, of wel 2-FA zoals ik het tijdens het lezen over Cloudbleed tegenkwam). Als een van die wachtwoorden dan is gecompromitteerd, dan heeft dat geen effect op je andere wachtwoorden en dankzij dubbele authenticatie kunnen ze toch niet in je account.

Lees wat meer over Cloudbleed. Lees bijvoorbeeld HIER, HIER, HIER en HIER van welke sites eventueel informatie is gelekt. HIER en HIER vind je aardige achtergrondverhalen over Cloudbleed en Cloudflare en HIER vind je de uitleg van Cloudflare zelf. En DIT is de uitleg van Dashlane, mijn password manager. Om op de hoogte blijven kun je natuurlijk ook zelf zoeken via Google naar ‘Cloudbleed’.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.