'Migratieplan gestart om Cloudflare gebruik geheel te stoppen. '
En dan? Volledig stoppen met het gebruik van deze dienst, wat gaan jullie dan gebruiken?

Nou zijn jullie het aan jullie eer verplicht, maar zo hoort een afhandeling van een mogelijke data breach plaats te vinden. Complimenten.

Hulde!
Tenminste als Torbrowser gebruikers dan niet langer zo ontzettend worden gepest met vortdurende volstrekt onnodige blokkades.

Het was in ieder geval niet privacy vriendelijk, Cloudflare luisterde immers bij alles mee op de lijn.

Wanneer gaan we ons eigenlijk hier in Europa en Nederland eens realiseren, hoe lang de algemene internet infrastructuur al zo lek als een mandje is. Kennelijk zijn niet veel security officers op de hoogte van de inhoud van deze website: http://www.crimeflare.com/

Ze hadden het dus toch al een tijdje kunnen weten, wat er speelt.

Maar na opnieuw een nieuw groot lek-incident schrikken we even wakker, maar gaan daarna weer even naief weer door met hetzelfde onverantwoorde veiligheidsbeleid. Net als recentelijk bij de DBB, niet screenen en achteraf geschrokken vaststellen wat niet had mogen gebeuren, maar ondertussen nooit het boetekleed aantrekken of iets daadwerkelijk veranderen. Wat moet er eigenlijk nog gebeuren om de zaak eens echt goed op de rails te willen krijgen.

Hoeveel data moeten er nog ten dienste van de grote globale spelers uit het Europese en Nederlandse raam verdwijnen eer we echt wakker worden uit onze Rip van Winkle slaap. Wellicht komt er op deze posting geen enkele reactie, dan is alles al verworden tot een achterhoedegevecht en zijn degenen, die er over gaan, niet echt van plan iets doortastends te doen.

In de tussentijd kunt u zich hier vermaken: http://www.doesitusecloudflare.com/

Ik zou zeggen bye bye Cloudflare, GoDaddy en andere grote Amerikaanse bulk providers, tot ziens in betere dagen!
Het is onze infrastructuur en we zitten hier op het oude continent! Jullie hebben bewezen niet onze interessen te dienen.

Goed bezig. Hopelijk volgen andere site ook dit voorbeeld!

Nee hoor, geen account password reset email ontvangen...

Done, thx voor het nemen van verantwoordelijkheid!

Da's mooi!

PS mijn account doet het ook weer ;-)

Wie iets bedenkt, dient zich te realiseren dat alk veiligheidsadvies DAADWERKELIJK uitvoerbaar moet zijn voor de vele inlogs waar iedereen mee opgescheept wordt. Ik moet momenteel 123 sterke wachtwoorden beheren. En dat kan NIEMAND uit zijn hoofd. Wie mensen laat inloggen, moet dus het gebruik van hulpmiddelen ondersteunen.

Leg mij nu eens uit waarom ik niet automatisch mag inloggen vanaf mijn stick (bit-locked) maar handmatig ook nog een captcha moet intoetsen. Als dit een juiste methode is moeten 123 sites dat ook doen en wordt internet voor oma van 80 onbruikbaar. Internet is niet voor de intelligente academische bonzen, maar voor de gemiddelde domme Jan met de pet! En onze hoog geleerde academici dien te zorgen dat zij GEBRUIKERSVRIENDELIJK en (dus niet of) VEILIG kunnen werken.

@redactie.

Dit is heel goed gedaan! Zo moet je ook de veiligheid waarborgen door meteen actie te ondernemen!

Weliswaar off-topic, maar zeker vermeldenswaard: een groep inbrekers bleek het voorzien te hebben op bepaalde sleutelkluizen (die buiten via het pand benaderbaar zijn). Deze groep van criminelen was er achter gekomen dat de sleutelkluis te forceren was waardoor de sleutel van de buitendeur voor het grijpen lag. Meteen toen ik daarvan hoorde heb ik (als beheerder) de sleutel uit de kluis gehaald van het pand. Wat denkt u wat er korte tijd daarop gebeurde? Juist ja, verbreking van de sleutelkluis. Maar de inbrekers vonden geen sleutel in de koker en zo werd een inbraak in het pand voorkomen.

Bij security moet je er echt bot-bovenop zitten!

"Wachtwoordreset-link naar alle Security.NL-gebruikers gemaild."
Dit vind ik misschien nog een punt van verbetering. Dit soort mails wordt ook als phishng verstuurd met nep-links. het gebruik van links in dit type mails zou eigenlijk afgeschaft moeten worden om dit type phishing de kop in te drukken. verder complimenten voor de openheid en de goede aanpak.

Bye bye Cloudflare! Kan ik eindelijke deze site fatsoenlijk benaderen met de TOR browser.

Goede IH actie. maar toch even scary met die geweldige pop-up. Toch maar even checken op XSRF :)

Dan kon je al door naar het ui-pictogram te gaan (links boven in de hoek v/d browser) en te kiezen voor "nieuwe identiteit".

Mag ik jullie bij security.nl een compliment geven? Vooral de transparantie over dit incident noem ik echt TOP.
Als je een klant goed kwaad wil maken dan is het wel het verzwijgen over een security-incident waar die klant last van kan hebben. Kijk maar eens naar de fail van Yahoo!

Ook op de lijst https://github.com/pirate/sites-using-cloudflare: fok, dumpert, geenstijl, nrc, wehkamp ...

kijk, hier word de koe geslacht als die nog vers is xD

Er zat ook helemaal geen authenticatie in de mail (SPF of DMARC). Het enige wat controleerbaar was in de mail, was dat de link naar 'https://www.security.nl' wees. Op zich moet dat genoeg zijn.

Maar dit wachtwoord heeft wel een heel laag risico bij uitlekken. Men kan daarmee alleen onder mijn account berichten plaatsen of aanpassen. Na één posting valt dat al op.

Geeft wel een vertekend beeld. Miljoenen mensen maken gebruik van de cloudflare DNS, die staan ook op deze lijst en zijn niet kwetsbaar. Volgens mij alleen als je de SSL proxy gebruikt.

Gaan we nu inzien waarom het genereren van de juiste SRI-hashes zo belangrijk kan zijn voor de website veiligheid.
Daar ging het in het geval van de code fout bij CloudFlut ook mis. Een dure = inplaats van een + !
En maandenlang onopgemerkt tot Omandy het zag.

luntrus

Nee, men kan meer.
Bij de weinige gebruikers die hier niet anoniem zijn en een account op naam hebben en de paar waarvan de echte naam toch hier en daar bekend is.
Bij die gebruikers kon men (al geef ik ze weinig kans) proberen of het gebruikte password ook zou werken bij een ander (social media etc.) account.
Hergebruik van passwords is een fenomeen dat veel blijft voorkomen.

Met een reset van passwords voorkomt security.nl misbruik bij ietwat nalatige gebruikers.
En iedereen weet dat de kraan bij de loodgieter net wat langer lekt en dat er bij de schoonmaker thuis best wel een pluisje stof te vinden is.
Niet bij allemaal maar toch.

Security dot nl neemt de juiste beslissingen en onverwijld. Hulde, driewerf hulde!

En gelijk begint het downgraden van de omvang van dit probleem door anderen. Echt menselijke eigenschap. Eerst het eigen straatje schoonvegen en de zaak zo veel mogelijk bagatelliseren. Waarom heeft je security officer het dan niet zelf gezien?
Waarom heeft ie niet gezorgd dat je er veilig voor was door er maatregelen tegen te nemen? Regeren is toch vooruitzien.

Toegeven nu met z'n allen: we hebben een enorm probleem met de veiligheid in het algemeen van de infrastructuur in de cloud. Dat kan tevens een probleem zijn voor onze concurrentie positie in de wereld en de veiligheid van onze eindgebruikers.

En niet weer snel de grote spelers opnieuw in bescherming nemen. Waartegen eigenlijk? Laat ze maar eens goed op hun r**t gaan voor het gevoerde veiligheidsbeleid, de onkunde en het gaan voor de vlugge graai dollar. Helaas, pindakaas,boys!

Niks ontvangen. Krijg alleen een permission denied als ik probeer in te loggen. Goed gedaan. NOT!

Prutsers.

Hulde voor http://security.nl!

Prima incident opvolging. ;-)

Fijn weekend!

Redactie prima werk.

Eindelijk het paswoord veranderd, was nog van 01-02-2012

Paswoorden veranderen schieten er meestal bij in.

Privacy is nummer 1

Misschien in je spam-folder? Je kan ook zelf je wachtwoord resetten met behulp van "Wachtwoord Vergeten" op het inlogscherm.

Denk even door, dan zie je dat je redenering niet klopt. Als men al het wachtwoord hergebruikte op sociale media, dan helpt het niet om het wachtwoord hier aan te passen. Het risico zit dan juist op die andere locaties.
Maar bij gebruikers van deze site verwacht ik toch unieke wachtwoorden.

helaas heeft TOR ook een heel hoop nadelen, en dat vergeet iedereen even.
Als ik persoonlijk lijk op mijn eigen gehoste websites... Sinds ik TOR gewoon hard blockeer in de firewalls, heb ik bijna geen ellende meer op mijn webservers. Dat geeft je toch te denken... Misschien is er een redenen waarom TOR verkeer extra maatregelen nodig heeft...... En misschien ook niet. Ik kan alleen maar kijken naar mijn eigen situatie. Cloudflare, kijkt naar een heeeeeeeeeeeeeele grote populatie, en hieruit trekken ze een bepaalde conclusie. Misschien met een redenen?

Heb je hier ook een bron van, dat ze dit ook werkelijk doen.


Waarom zelf alles bouwen, en het wiel eigenlijk iedere keer opnieuw uitvinden. Cloudflare is gewoon een dient die voor veel bedrijfen onmogelijk is om zelf te bouwen en te onderhouden.
En om zo'n dienst zelf te bouwen, is eigenlijk een groot risico, immers je moet ook gekwalificeerd personeel hiervoor hebben. Want zonder dat, heb je eigenlijk exact het zelfde, maar dan in house.

Onzin. Dit is gewoon een eigenschap van een reverseproxy voor https. Site is gewoon gemaakt door iemand die wilt schoppen en nergens zijn zin krijgt, en toch vind dat hij gelijkt heeft.

Ik zeg liever hallo..... Of je moet een aantal alternatieven kunnen aandragen, die ze zelfde dienst kunnen leveren?
het huidige issue, heeft hier ook helemaal niets mee te maken, waar een bedrijf zit.

Ik zou juist eerder zeggen, menig bedrijf moet lof krijgen voor zo'n snelle reactie. Zie daar maar eens ergens anders ook te krijgen.

Ik ben het volledig met U eens, want hoeveel mensen letten er niet op naar welke website ze doorgestuurd worden en men zou een ander manier moeten vinden om deze actie uit te voeren, welke zonder meer noodzakelijk en gerechtvaardigd was.
Als je even niet oplet wordt je naar en kwaadwillende website doorgestuurd en ik heb ook 2 maal gecheckt voor ik op de link in mail geklikt heb.

Dat vind ik nog al grof om deze mensen uit te maken voor prutsers, ze doen hun werk goed en als je een vent bent, dan reageer je niet anoniem.
Het kan ook aan de instellingen van je firewall liggen of andere instellingen van je Pc of je doet zelf iets verkeerd want bij andere mensen (waaronder mezelf) werkt het wel, dus zoek eerst de fout bij jezelf voordat je zo'n grove reactie hier plaatst !

De mail leek inderdaad op phishing.

Verder geen probleem want het werkt.

Ik had al niks met de klauwt en ik weet nu dat het ook zo blijft.

@ anoniem van 17:04

Waarom mogen we geen kritiek hebben op Amerikaanse diensten. Waarom mogen we geen vragen stellen bij hun transparant zijn op veiligheidsbeleid. Een code fout een paar maanden open laten staan = i.p.v. + is toch tenminste slordig.

Lekker onderuitz akken en zeggen, ik ben van mijn verantwoordelijkheid af. Ik laat het lekker wel over aan bulkhosters en vertrouw ze op de blauwe ogen is niet beweren, dat je het wiel opnieuw uit moet vinden.

Wel betekent het deze jongens steeds duvels goed in de gaten moet houden en direct moet afrekenen op de verantwoorde (on)veiligheid. Als daar incompetentie of onveiligheid heerst heb je je infrastructuur al tot vogelvoer gemaakt.

Je kan niet wegschuilen achter de idee dat men in Amerika via bulk outsourcing al je problemen oplost en niet tegelijkertijd daar big time van profiteert of met de veiligheid een loopje neemt. Vertrouw alleen dat wat je zelf hebt geconstateerd.

Ik zeg niet dat we het beter zouden doen dan CloudFlare, wel dat we ons niet helemaal afhankelijk moeten maken van hun services en wat ze beloven en wel op een schaal van 5.5 miljoen websites wereldwijd. En hoeverre dat ze delen met big business en surveillance daar. Europa en Nederland zijn toch geen filantropische instellingen voor de Oost-Amerikaanse elite?

Verbeter de wereld en begin bij jezelf. SRI hashes goed gegenereerd, geen inline javascript gebruikt, alles gepatched en geupdate? Header security opo orde, Geen excessieve info proliferatie op servers en naamservers? Getest op XSS sinks en siources? Input en output validatie op orde. Clickjacking? Begin daar eens mee en dan heb je ook recht van spreken in de cloud of zijn die problemen ineens en stuk minder urgent.

Lol!

Natuurlijk weer een 'Anoniem' die hier zijn vuil kwijt moet omdat zijn eigen email-account verstopt zit met bagger.

Top gedaan Security.nl!!

Een voorbeeld hoe het wel moet.

Klasse, complimenten! Zo moet het, zeker nu achteraf blijkt dat er idd ook impact op security.nl blijkt. (Volgens cloudbleedcheck.com)

Heb je ook een bron dat er nu impact op security.nl is geweest?

Op die zelfde site vind ik namelijk het volgende terug:

Ofwel het KAN, maar kan ook niet. De site geeft eigenlijk alleen maar aan dat je gebruikt maakt van Cloudflare meer niet. En dat is geen nieuws.....

Wel een nette actie van security, icm de password reset.

Mooi van security.nl inderdaad! De tool die je linkt is wel wat dubieus, zo te zien checked hij alleen *of* de site cf gebruikt, niet of er data gelekt is (was maar een klein deel). Ook zie ik sites die alleen DNS gebruiken van cf en niet de SSL proxy (ook niet affected). Korreltje zout dus.

Wat meer info hierrrr:
https://en.wikipedia.org/wiki/Cloudbleed

What's in a Name? Mm?
'niet geregistreerde bezoeker' misschien het alternatief voor de muggenzifterij?

Dus: Non argument.


Terecht!

Want het is de beerput van de trol.

En over de zero inzichtelijkheid die Security.nl vrijgeeft ten aanzien van moderatie is hier al zo vaak gezeurd.......(!)...
èn daarop gesuggereerd dat je dat kunt voorkomen door (zucht) een account aan te maken dat ik dit niet uittentreure ga herhalen. (zinloos)

Dus: zeurpraat.


Ah, spreekt hier de 'would be moderator' van Security.nl?

Nou, leuker kunnen we het niet maken.
Nu kom ik er achter dat de organisatie CloudFlare een van zijn private keys is gelekt bij een machine-to-machine encryptie.

Jeetje, als dat op straat ligt, ja, dan kun je wel inpakken zeg.

Waar men aan voorbij gaat is dat een caching service de end-to-end encryptie te niet doet. Op een manier die niet inzichtelijk is voor de eindgebruiker. In plaats van die achterlijke cookiewet, misschien moeten we hier een wet voor maken, dat sites die gebruik maken van zo'n service dit kenbaar moeten maken en toestemming vragen alvorens de service in te schakelen.

Best wel balen. Maar helaas hebben veel andere sites hetzelfde probleem. bij TechDirt doen ze dit nu ook.
Zie ook https://www.techdirt.com/articles/20170224/16145636783/just-to-be-safe-were-resetting-all-techdirt-passwords-response-to-cloudbleed.shtml
Ik ben benieuwd hoeveel andere bedrijven nu wachtwoorden gaan resetten...
---
CloudFlare heeft er ook een artikel aan gewijd: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Lieve mensen hier,

Met dit als aanleiding, maar toch? Waarom horen we geen Bruse Schneider of Brian Krebs over dit CloudFlare drama?

Wat is toch de reden (achtergrond) dat er op het moment zoveel mis lijkt te gaan op het Anglo-Amerikaanse deel van het Internet. Waar het het sterkst zou moeten zijn met oog op de backbone en beheer, is het tegenwoordig het meest bedreigd.

Allerlei onveiligheid, gigantische data breaches, onveilige netwerken op grote Amerikaanse universiteiten. Nu weer gebruikersdata op straat op een vliegveld en het houdt maar niet op. En als het daar begint te regenen, zitten wij ook binnen de korstte keren in de drup.

Wat is de onderliggende oorzaak? Zijn de grote globalel spelers ontevreden met de frustratie van hun plannetjes in en met de States? Is alles wat er gebeurt dus een vorm van geplande sabotage of is er sprake van gebrek aan capaciteit om de infrastructuur veilig te houden, incompetentie dus en gebrek aan goed opgeleide krachten. "Dumbed down failed state!"

Wie vertelt het hier en helpt on allen uit de droom door een insider's blik op de stand van zaken?

Een nieuwsgierige luntrus....

Ik zou zeggen: vraag het zelf eens aan Bruce en Brian?

Ik denk dat er niemand is die zegt dat je je "moet" registreren op allerhande websites...

@ de eindgebruikers,

Het is natuurlijk goed een overzicht te hebben van alle accounts waar je je ooit op hebt ingeschreven
en dan daarvan bij die die je wil behouden de accountgegevens te vernieuwen (account en/of wachtwoord veranderen).

Regelmatig is er sprake van een lek hier en daar of wordt er een forum gehackt.
De nieuwste l33t hackers hebben de titel onderzoeker of analist en moeten iets ontdekken dus.

Zo werden bijvoorbeeld in 2014 alle accountgegevens van het MBAM forum buitgemaakt.
Men had het zo slecht op orde daar, dat men een half jaar lang voor gebruikers met een crack versie
het gebruik van de software legaal moesten maken, omdat men ze niet kon checken tegen de juiste legitieme versies
van de software. Ja hier en daar heerst incompetente chaos. We weten het, maar realiseren het ons niet altijd!

Check dus eens hier: https://unroll.me/ of hier: https://haveibeenpwned.com/

Niet doen als u over-paranoïde bent en juist dan vreest spam te ontvangen of in een of andere database te verdwijnen,
Dan blijft u daar weg en leunt u niet op '3rd party' scanning resultaten, maar op de eigen beveiligingsmaatregelen.

Je gegevens zijn waarschijnlijk al via legio veilige en onveilige trackers verspreid of verkocht. Hallo!
Bij het openen van een pagina bij de telegraaf bij voorbeeld springen er al direct meer als zestig op je (browser) nekkie.

In het geval van Cloudbleed heb ik of liep ik enigszins gevaar bij 31 data verzamelaars, te weten:
AdF.ly Amazon bitly Google
Disqus DoubleClick eStat Facebook
Foursquare InfoLinks Krux Digital LinkedIn
Marin Software MaxMind Microsoft adCenter Po.st
Project Wonderful Reddit Semasio Simpli.fi
Skimbit Ltd TraceMyIP Tumblr Twitter
Tynt Typepad Stats UserVoice VigLink
Improve Digital Platform161 MixPanel

De meeste ervan worden direct geblokt door mij via uMatrix en een goede adblocker en firehol.

Maar als we weten dat een Russische adblocker service als Adguard ook getroffen werd door de CloudFlare datableed,
dan zit uwes daar mooi mee. Het zit wellicht inmiddels bij iemand elders in de cache. (c3rb3r.opennet etc?).

Conclusie vertrouw dus never nooit iets "in de blind" op het Internet en check ook eens zelf.

Wat werd er bijvoorbeeld o.a. getest voor de stand van zaken rond SSL?

Scan voorbeeld, de vereiste info credits gaan in dit geval naar security researcher, Sijmen Ruwhof.

Hoe hou je het veilig? Doe het vooral voor een beetje verbetering van de onveilige infrastructuur.

"Oh, baby, baby, it's a wild world". zongen we in de jaren 60 en er is niets veranderd wat dat betreft.
Vooruit, security.nl, en gaan met die banaan!

luntrus

Even voor mijn beeld: certificaten kunnen niet zijn uitgelekt? (zie geen nieuw certificaat op de site)

Ik heb ook even goed gekeken naar het mailtje en voor de zekerheid de website handmatig benaderd. Ik kon inderdaad niet meer inloggen en heb toen de mail en de link vertrouwd.

Er waren wat mij betreft genoeg andere redenen om dat cloudflare te dumpen!

Ben trouwens wel benieuwd naar hoe jullie abuse er uit ziet, en wat jullie hier tegen doen.

cloudflare is ook af te raden..