[Info] Passwörter von Cloudflare-Seiten ändern

[Mustrum]

0

Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich - heise.de
Cloudflare verteilt private Daten übers Internet - golem.de
Incident report on memory leak caused by Cloudflare parser bug - Blog

Es ist anzuraten die Passwörter bei Seiten die Cloudflare verwenden, sicherheitshalber zu ändern.

Welche Seiten eventuell betroffen sind, könnt ihr hier erfahren: https://github.com/pirate/sites-using-cloudflare

oder hier http://cloudflarelistcheck.abal.moe/ zB mygully eingeben

[Dornfeld]

0

Ich verlink dich mal gerade.
Datenpannen

[thEClaw]

0

Was fange ich denn mit der Information an? Ich habe gefühlt 500 verschiedene Accounts auf ebensovielen Seiten, von Hand werde ich die jetzt nicht alle suchen oder ändern. Da hilft wohl nur, das Internet von meinem Computer zu löschen und fortan ganz viel Tischtennis zu spielen. War schön.

[hydr0x]

0

Die Liste ist eh Schwachsinn und kann ignoriert werden. Sie listet jede Seite, die Cloudflare nutzt, egal auf welche Art und Weise. Es ist aber nur der kostenpflichtige, deutlich seltenere Dienst, der betroffen ist. Der normale DNS-Dienst ist nicht betroffen. Fast alle Seiten auf der Liste nutzen nur den.

[Dornfeld]

0

Is ja deine Sache Dude.

[Mustrum]

0

Die Liste ist eh Schwachsinn und kann ignoriert werden.

Du sprichst nur für dich, oder auch für andere?
[×] Ja [_] Nein

Sie listet jede Seite, die Cloudflare nutzt, egal auf welche Art und Weise. Es ist aber nur der kostenpflichtige, deutlich seltenere Dienst, der betroffen ist.
Der normale DNS-Dienst ist nicht betroffen. Fast alle Seiten auf der Liste nutzen nur den.

Äh ja?

Du bist Sicherheitsexperte und kennst dich in der Materie von Cloudflare so gut aus und weißt Sachen die sonst keiner öffentlich weißt?
[_] Ja [×] Nein

Jeder muss sich selbst Gedanken machen wie es um die Sicherheit der Passwörter steht.
Ich habe hiermit lediglich auf eine potentielle Gefahr hingewiesen.
Auch wenn die Gefahr eventuell gering ist dass damit Schäden verursacht werden kann, so ist sie doch vorhanden.

Und auch wenn nur Webseiten, die den kostenpflichtigen Dienst verwenden betroffen sind, so reicht diese Meldung aus um eventuelle User die eben auf diesen Seiten registriert sind aufmerksam zu machen, sich um ihre Passwörter zu kümmern.

[hydr0x]

0

Du bist Sicherheitsexperte und kennst dich in der Materie von Cloudflare so gut aus und weißt Sachen die sonst keiner öffentlich weißt?
[_] Ja [×] Nein

Das nächste mal vielleicht vorher informieren, klar ist das öffentlich, direkt auf der verlinkten Github-Liste:

DISCLAIMER:

This list contains all domains that use Cloudflare DNS, not just the Cloudflare proxy (the affected service that leaked data). It's a broad sweeping list that includes everything. Just because a domain is on the list does not mean the site is compromised, and sites may be compromised that do not appear on this list

Und auch: Diskussion

Und auch wenn nur Webseiten, die den kostenpflichtigen Dienst verwenden betroffen sind, so reicht diese Meldung aus um eventuelle User die eben auf diesen Seiten registriert sind aufmerksam zu machen, sich um ihre Passwörter zu kümmern.

Nein, die Meldung ist nutzlos. Die Liste listet 4 Millionen Seiten, von denen ein paar hundert maximal betroffen sind. Aber selbst wenn es tausende wären, es ist völlig unmöglich auf einer Liste von 4 Millionen Seiten die Seiten zu finden, bei denen man selbst Accounts hat. Wenn du also nicht grade nur eine handvoll Accounts hast, nach denen du explizit suchen kannst, dann ist die Liste wertlos. Wäre sie selbst dann, wenn die 4 Millionen Einträge korrekt wären, was sie nicht sind.

[Mustrum]

0

Du bist Sicherheitsexperte und kennst dich in der Materie von Cloudflare so gut aus und weißt Sachen die sonst keiner öffentlich weißt?
[_] Ja [×] Nein

Das nächste mal vielleicht vorher informieren, klar ist das öffentlich, direkt auf der verlinkten Github-Liste:

Ist eben nicht offiziell öffentlich von Seiten Cloudflare.
Die GitHub-Seite ist nicht die von Cloudflare, genauso wie die Kommentare.
Cloudflare wird sich darüber bestimmt nicht äußern und nur mit ihren Kunden direkt kommunizieren wenn was sein sollte.

Es läuft darüber hinaus dass eventuell, vielleicht diese oder jene Webseite betroffen sein könnte. Punkt.

Aber eventuell sind hier ja nur User die bei keinem seriösen Anbieter registriert sind, die aber trotzdem Cloudflare verwenden.
Ich für meinen Teil musste mich über zwei Domainen erkundigen die in der Liste waren, aber da diese komplett https (SSL/TLS) verwenden, gibt es damit keine Probleme.

[hydr0x]

0

Du bist Sicherheitsexperte und kennst dich in der Materie von Cloudflare so gut aus und weißt Sachen die sonst keiner öffentlich weißt?
[_] Ja [×] Nein

Das nächste mal vielleicht vorher informieren, klar ist das öffentlich, direkt auf der verlinkten Github-Liste:

Ist eben nicht offiziell öffentlich von Seiten Cloudflare.
Die GitHub-Seite ist nicht die von Cloudflare, genauso wie die Kommentare.
Cloudflare wird sich darüber bestimmt nicht äußern und nur mit ihren Kunden direkt kommunizieren wenn was sein sollte.

Du erkennst schon den Unsinn dieser Antwort? Cloudflare selbst hat deutlich gesagt welcher Dienst betroffen ist. Dann kommt ein Github-User daher, bastelt ein Skript, dass alle Seiten listet, die IRGENDEINEN Cloudflare-Dienst nutzen, sagt noch dazu, dass das aber nicht dem entspricht, was tatsächlich betroffen ist. Und deine Folgerung ist: OK, die Liste von Github muss man verwenden, aber die Aussage des gleichen Typs, der die Liste gemacht hat, die muss man ignorieren. Ah ja...

[Mustrum]

0

Dann zitiere bitte von https://blog.cloudflare.com/incident-rep...arser-bug/ wo explizit steht, dass nur Bezahl-Kunden eventuell betroffen sind.

Das einzige was mich persönlich - bei 2 Domains - betraf ist dieser Satz:

For the avoidance of doubt, Cloudflare customer SSL private keys were not leaked. Cloudflare has always terminated SSL connections through an isolated instance of NGINX that was not affected by this bug.

Sorry, aber wenn man nicht mal auf eine möglichen Leck aufmerksam machen kann, ohne dass jemand das sofort als absurdum abzutun, dann kannst du gerne dich als Obersicherheitsberater und -aufklärer auftun.

Ich bin raus du kannst weiterspielen.

[hydr0x]

0

[...] report a security problem with our edge server [...] it turned out that in some unusual circumstances, which I’ll detail below, our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines. [...] We quickly identified the problem and turned off three minor Cloudflare features (email obfuscation, Server-side Excludes and Automatic HTTPS Rewrites) that were all using the same HTML parser chain that was causing the leakage [...]

Die Edge-Server sind Teil des Proxy-Dienstes, nicht Teil des DNS-Dienstes. Hier nochmal die Bestätigung dazu. Die Liste basiert aber auf Nutzern des wesentlich gebräuchlicheren DNS-Dienstes.

Es wäre aber egal, ob die Liste korrekt ist. Du kannst ja trotzdem unmöglich jede Seite finden, bei der du Accounts/Daten hast.

Die einzigen bestätigten Datenlecks kommen von folgenden Seiten: Link

Wenn du davon was nutzt, dann solltest du dort explizit was unternehmen. Wobei im Allgemeinen ja DATEN geleakt wurden (also z.B. persönliche Details). Da hilft auch kein nachträglicher PW-Wechsel.

Edit: Und ich sage ja gar nicht, dass der Leck an sich nicht existiert oder ein Problem ist. Sondern lediglich, dass es (ausser der kleinen Liste) keine Quellen gibt, welche Domains tatsächlich betroffen sind und dass ein Reagieren auf alle Cloudflare-DNS-Domains unmöglich ist.

[Dornfeld]

0

Also ich kenne alle Seiten bei denen ich einen Account hab. Du nicht?

[Dornfeld]

0

DISCORDAPP.COM setzt bspw. Cloudflare ein. Da ist unser derzeitiger Boardchat gehostet.

[thEClaw]

0

DISCORDAPP.COM setzt bspw. Cloudflare ein. Da ist unser derzeitiger Boardchat gehostet.

Oh nein! Und in welchem Ausmaß spielt das jetzt eine Rolle? Brauche ich einen neuen Personalausweis?

[Dornfeld]

0

Jetzt sind eben unsere Passwörter dort bekannt. Man kann also unsere Accounts in unserem Namen nutzen.

[Mustrum]

0

Jetzt sind eben unsere Passwörter dort bekannt. Man kann also unsere Accounts in unserem Namen nutzen.

Man könnte (…).
Bitte keine Panikmache, nur weil ich informieren wollte.

https://blog.discordapp.com/safety-jim-p...a4ecc48298

The Important Technical Bits From Our CTO Stan:

Cloudflare disclosed today that they have fixed a bug reported by Google’s Project Zero that was very rarely exposing sensitive information in random requests (0.00003% of all requests) since September 2016. There was no way to target specific information and the exposed information was random.

For those that are unaware Cloudflare is an internet proxy that protects website from malicious attacks such as DDoS. Discord and many other websites were affected by this vulnerability. You can find a full list of websites that are using Cloudflare here.

The likelihood that your information was leaked on any of these sites is very low, but we highly recommend changing your password on Discord and any other sites you use that also use Cloudflare. If you develop against the API on any of the sites, it is also recommended to reset your API key.

At the current time we do not believe performing a forced password reset on all of Discord is necessary given the incredibly low likelihood of impact, but we are continuing to evaluate as we wait for Cloudflare to provide us directly with the full level of impact.

Stay safe on the internet!

Für mich persönlich gilt: Sicher ist sicher

[Dornfeld]

0

Für mich persönlich gilt: Sicher ist sicher

So halte ich es auch.

[dx1]

0

Für mich persönlich gilt: Sicher ist sicher

So halte ich es auch.

Ich auch?

[Dornfeld]

0

Teste ich derzeit. Funktioniert soweit. Ich bin aber in Sorge, dass ich meine Accounts verliere sollte mal was an das Gerät mit dem Codegenerator kommen.