Cloudbleed - Private Daten geleakt

[DeadLine']

Quote:

Originally Posted by JimPanse87

Sag bloß. Damit war natürlich gemeint, dass man checken kann ob der DIENST genutzt wird. Was das bedeutet und das es sehr wohl hilfreich sein kann, werd ich dir ja nicht erklären müssen, richtig?

Ging nicht ganz hervor, dass mit mit "betroffen" meinst, dass die Anbieter CloudFlare nutzen.
Betroffen heißt eher, dass die Anbieter halt in die Liste mit ein gehen, welche sensible Daten im Netz haben.

[Pizza Süß Sauer]

epvp.de ist grün, also alles lässig

[nÂsty.]

Quote:

Originally Posted by Nesbyte

epvp.de ist grün, also alles lässig

elitepvpers.com nicht

Gut das man Informiert wird.

[NotThatBad]

Quote:

Originally Posted by 5n00pz

Hätte elitepvpers SSL, wäre dies nicht passiert, sehe ich das richtig?

Wenn das der Fall sein sollte, sollte das mal nun der Grund sein, SSL so schnell wie möglich einzubauen.

Elitepvpers hat SSL, du musst die URL jedoch manuell eingeben (nur auf der .com-Domain). Was e*pvp nicht hat ist HSTS, das redirected dich automatisch auf die HTTPS-Seite.

[BosniaWarlord]

Quote:

Originally Posted by MrSm!th

Das hat immer noch rein gar nichts mit SSL zu tun. Auch SSL-verschlüsselte Anfragen sind potenziell betroffen. Und "Schutzanforderungen" ist da auch eher eine leere Phrase. Bis auf Zwei-Faktor-Authentifizierung (welche auch bei uns in Arbeit ist) wäre da nichts, was die Logins auf Paypal grundsätzlich sicherer in Bezug auf Cloudbleed macht. Paypal nutzt einfach nur nicht Cloudflare.



Danke, erledigt.

Ich wollte die Zwei-Faktor-Authentifizierung vor einer Woche ansprechen, gut das es schon in der Planung ist. Wie wird die zweite Authentifizierung aussehen ? Hoffe auf ein System wie bei Steam

[Zeds Dead]

Was genau macht jetzt die Seite cloudbleedcheck? Nur anzeigen ob die Seite den Service nutzt? Bitte nur qualifizierte Antworten, denn laut dieser Seite bin ich jetzt betroffen, der Support sagt aber das wir nicht betroffen sind.

[MrSm!th]

Quote:

Originally Posted by BosniaWarlord

Ich wollte die Zwei-Faktor-Authentifizierung vor einer Woche ansprechen, gut das es schon in der Planung ist. Wie wird die zweite Authentifizierung aussehen ? Hoffe auf ein System wie bei Steam

Google Authenticator und Codes via E-Mail werden voraussichtlich die Optionen sein.

Quote:

Originally Posted by Zeds Dead

Was genau macht jetzt die Seite cloudbleedcheck? Nur anzeigen ob die Seite den Service nutzt? Bitte nur qualifizierte Antworten, denn laut dieser Seite bin ich jetzt betroffen, der Support sagt aber das wir nicht betroffen sind.

Es zeigt nur, dass die Seite Cloudflare nutzt, deswegen ja auch "potentially affected".

[Zeds Dead]

Quote:

Originally Posted by MrSm!th

Es zeigt nur, dass die Seite Cloudflare nutzt, deswegen ja auch "potentially affected".

Also bei mir steht da is affected, ich rede hier nicht von epvp.

[MrSm!th]

Quote:

Originally Posted by Zeds Dead

Also bei mir steht da is affected, ich rede hier nicht von epvp.

Scheint eine ungünstige Formulierung zu sein, ich sprach von dem Satz: "Database contains 4,287,625 entries of potentially affected domains."

[Zypr]

Die Seite, die im ersten Post verlinkt wurde, ist totaler Schwachsinn. Es wird lediglich geprüft ob man den Cloudflare DNS-Server benutzt aber nicht, ob man auch den Schutz aktiv hat.

[MrSm!th]

Quote:

Originally Posted by Zypr

Die Seite, die im ersten Post verlinkt wurde, ist totaler Schwachsinn. Es wird lediglich geprüft ob man den Cloudflare DNS-Server benutzt aber nicht, ob man auch den Schutz aktiv hat.

Besser als nichts. Afaik gibt es keine verlässliche Methode, um eindeutig zu wissen, ob eine Seite betroffen ist. Der DNS Eintrag ist aber schon mal ein gutes Indiz.

[JimPanse87]

Er kann die Seite auch gerne wieder aus dem Post entfernen.
Für mich war es lediglich hilfreich zu sehen, da ich sowieso unterschiedliche Passwörter für die verschiedenen Plattformen benutze, welche potenziell dabei sein könnte. Mehr nicht.
Letzen Endes hat es Lekos richtig gesagt: Vorsicht ist besser als Nachsicht: Passwörter von Seiten mit empfindlichen Daten ändern und gut ist.

Noch ein kleines Feedback: Die News Notification ist wirklich ein tolles Tool. Danke nochmal dafür!

[Whoknowsit]

So viele unqualifizierte Antworten auf einem Haufen. Wahnsinn.

Also: Allen voran sollte klar gestellt werden, dass die im Eingangspost verlinkte Seite gar keine Requests zur Zielseite durchführt. Die Seite greift auf eine bestehende "Datenbank" in Form einer Textdatei zu und schaut, ob die zu prüfende Domain darin enthalten ist, oder nicht. Weder diese Seite, noch sonst irgendein öffentlich zugänglicher Dienst kann mit Gewissheit sagen, welche Domains nun wirklich betroffen sind und welche nicht. Daher beschränkt man sich auf "potentiell betroffene Domains" und dies wiederum könnte jede Domain sein, die Cloudflare nutzt.

Doch woher stammt diese Liste? Die Liste wurde über einen langen Zeitraum - d.h. auch lange vor dieser Lücke - bereits gepflegt und enthält eine sehr große Anzahl an Hosts, die Cloudflare nutzen. Ob Cloudflare verwendet wird oder nicht, lässt sich meist aus dem Response-Header eines Requests auslesen, da hier im Normalfall der Server-Header "cloudflare-nginx" zurückgibt. Aber auch IP-Adressen von Hostnamen können darüber Aufschluss geben. Nicht zuletzt die Zertifikatsinformationen (insofern SSL aktiviert ist).

Große, bekannte Internetseiten wie etwa Paypal, Facebook, Google, GMX, Pornhub & co. sind nicht direkt betroffen, da sie kein Cloudflare verwenden. Gerade bei Paypal oder den Internetseiten eurer Bank wäre die Nutzung von Cloudflare extrem fatal.

Ich versuch's mal für technisch weniger versierte Personen einfach zu erklären: Niemand muss nun unbedingt befürchten, dass sein verwendetes Kennwort nun irgendwo im Internet zu finden ist, nur weil seine Lieblingswebseite möglicherweise von diesem Leak betroffen ist/war. Das regelmäßige Ändern von Kennwörtern wird allgemein sowieso immer empfohlen. Ebenso die Verwendung verschiedener Kennwörter für die verschiedensten Anlässe. Aber anders als bei einem richtigen "Einbruch" in die Datenbank einer Internetseite, wo für gewöhnlich gezielt Informationen wie E-Mail-Adressen, Passwort-Hashes, usw. gestohlen werden, konnte man hier nicht wirklich gezielt irgendwelche sensitiven Informationen abgreifen.

Abschließend sei zu erwähnen, dass es keine wirklich öffentlichen Informationen darüber gibt, von welchen Seiten welche Informationen abgegriffen wurden bzw. werden konnten. Es gibt auch nur eine Hand voll Domains, bei denen überhaupt festgestellt werden konnte, dass sie etwaige Informationen zurückgegeben haben:

- android-cdn-api.fitbit.com
- cdn.meaww.com
- conservativetribune.com
- cn-dc1.uber.com
- data-api.teespring.com
- discordapp.com
- dmsprod.shrbt.com
- gateway.discord.gg
- img.kpopmap.com
- intangibleobject.uservoice.com
- iphone-cdn-client.fitbit.com
- mp3net.az
- offtopic.com
- roomimg.stream.highwebmedia.com
- runningboardwarehouse.com
- s7.addthis.com
- secure.meetup.com
- us43.blackfdsessionfz.co
-
- www.bungie.net
-
-
-
-
-
-
-
-
- xa.firefox1.com
- cn-dc1.uber.com

TL;DR: Ausgehend davon, dass Elitepvpers alles Mögliche und Notwendige getan hat (d.h. zumindest einmal sämtliche Sessions gekillt um eventuell geleakte Session-IDs zu invalidieren), liegt es einzig an euch, ob diese Panne irgendwelche negativen Konsequenzen für euch hat. Daher noch einmal: Ändert vorsichtshalber überall euer Kennwort, nutzt bei Möglichkeit Zwei-Faktor-Authentifizierung und gut ist's. Gerade dann, wenn ihr beispielsweise Cloud-Passwort-Manager nutzt wie etwa 1Password (da die auch Cloudflare einsetzen).

[Zypr]

Quote:

Originally Posted by Whoknowsit

So viele unqualifizierte Antworten auf einem Haufen. Wahnsinn.

Also: Allen voran sollte klar gestellt werden, dass die im Eingangspost verlinkte Seite gar keine Requests zur Zielseite durchführt. Die Seite greift auf eine bestehende "Datenbank" in Form einer Textdatei zu und schaut, ob die zu prüfende Domain darin enthalten ist.

Doch woher stammt diese Liste? Die Liste wurde über einen langen Zeitraum - d.h. auch lange vor dieser Lücke - bereits gepflegt und enthält eine sehr große Anzahl an Hosts, die Cloudflare nutzen. Ob Cloudflare verwendet wird oder nicht, lässt sich meist aus dem Response-Header eines Requests auslesen, da hier im Normalfall der Server-Header "cloudflare-nginx" zurückgibt. Aber auch IP-Adressen von Hostnamen können darüber Aufschluss geben. Nicht zuletzt die Zertifikatsinformationen (insofern SSL aktiviert ist).

Große, bekannte Internetseiten wie etwa Paypal, Facebook, Google, GMX, Pornhub & co. sind nicht direkt betroffen, da sie kein Cloudflare verwenden. Gerade bei Paypal oder den Internetseiten eurer Bank wäre die Nutzung von Cloudflare extrem fatal.

Ich versuch's mal für technisch weniger versierte Personen einfach zu erklären: Niemand muss nun unbedingt befürchten, dass sein verwendetes Kennwort nun irgendwo im Internet zu finden ist, nur weil seine Lieblingswebseite möglicherweise von diesem Leak betroffen ist/war. Das regelmäßige Ändern von Kennwörtern wird allgemein sowieso immer empfohlen. Ebenso die Verwendung verschiedener Kennwörter für die verschiedensten Anlässe. Aber anders als bei einem richtigen "Einbruch" in die Datenbank einer Internetseite, wo für gewöhnlich gezielt Informationen wie E-Mail-Adressen, Passwort-Hashes, usw. gestohlen werden, konnte man hier nicht wirklich gezielt irgendwelche sensitiven Informationen abgreifen.

Abschließend sei zu erwähnen, dass es keine wirklich öffentlichen Informationen darüber gibt, von welchen Seiten welche Informationen abgegriffen wurden bzw. werden konnten. Es gibt auch nur eine Hand voll Domains, bei denen überhaupt festgestellt werden konnte, dass sie etwaige Informationen zurückgegeben haben:

- android-cdn-api.fitbit.com
- cdn.meaww.com
- conservativetribune.com
- cn-dc1.uber.com
- data-api.teespring.com
- discordapp.com
- dmsprod.shrbt.com
- gateway.discord.gg
- img.kpopmap.com
- intangibleobject.uservoice.com
- iphone-cdn-client.fitbit.com
- mp3net.az
- offtopic.com
- roomimg.stream.highwebmedia.com
- runningboardwarehouse.com
- s7.addthis.com
- secure.meetup.com
- us43.blackfdsessionfz.co
-
- www.bungie.net
-
-
-
-
-
-
-
-
- xa.firefox1.com
- cn-dc1.uber.com

TL;DR: Ausgehend davon, dass Elitepvpers alles Mögliche und Notwendige getan hat (d.h. zumindest einmal sämtliche Sessions gekillt um eventuell geleakte Session-IDs zu invalidieren), liegt es einzig an euch, ob diese Panne irgendwelche negativen Konsequenzen für euch hat. Daher noch einmal: Ändert vorsichtshalber überall euer Kennwort, nutzt bei Möglichkeit Zwei-Faktor-Authentifizierung und gut ist's. Gerade dann, wenn ihr beispielsweise Cloud-Passwort-Manager nutzt wie etwa 1Password (da die auch Cloudflare einsetzen).

Das ändert nichts daran, dass Domains in der Liste enthalten sind, die lediglich den DNS-Service nutzen und nicht den reverse proxy. Meine Domains werden auch alle "rot" angezeigt, obwohl sie nicht von dem Bug betroffen sind. Es reicht schon, dass man die DNS-Server benutzt, deshalb ist die Liste und somit die Seite hinfällig, weil es absolut nicht aussagekräftig ist und bei Unwissenden nur für Verwirrung sorgt.

[Whoknowsit]

Quote:

Originally Posted by Zypr

Das ändert nichts daran, dass Domains in der Liste enthalten sind, die lediglich den DNS-Service nutzen und nicht den reverse proxy. Meine Domains werden auch alle "rot" angezeigt, obwohl sie nicht von dem Bug betroffen sind. Es reicht schon, dass man die DNS-Server benutzt, deshalb ist die Liste und somit die Seite hinfällig, weil es absolut nicht aussagekräftig ist und bei Unwissenden nur für Verwirrung sorgt.

Das ist, was ich eingangs schrieb und meinte. Ich habe den ersten Absatz allerdings noch etwas ergänzt, damit das klarer wird:

Quote:

Weder diese Seite, noch sonst irgendein öffentlich zugänglicher Dienst kann mit Gewissheit sagen, welche Domains nun wirklich betroffen sind und welche nicht. Daher beschränkt man sich auf "potentiell betroffene Domains" und dies wiederum könnte jede Domain sein, die Cloudflare nutzt.