Cloudbleed is de nieuwste internetbug die gebruikers privé-informatie op het spel zet. Het nieuws van de bug brak laat op donderdag, maar er is al veel verwarring over en de daadwerkelijke impact ervan op de informatie van mensen.

We hebben dit samengesteld als een gids voor Cloudbleed en hoe u moet reageren. Het nieuws van Cloudbleed is aan de gang en we zullen dit artikel bijwerken wanneer zich nieuwe problemen voordoen. Kom later terug voor nieuwe informatie.

Wat is Cloudbleed?

Cloudbleed is de naam van een grote inbreuk op de beveiliging van het internetbedrijf Cloudflare dat gebruikerswachtwoorden en andere potentieel gevoelige informatie lekte in duizenden websites over een periode van zes maanden. Het register beschrijft het als "zittend in een restaurant, zogenaamd aan een schone tafel, en behalve dat je een menu krijgt, krijg je ook de inhoud van de portemonnee of portemonnee van de vorige diner."

De naam komt van Tavis Ormandy van Google's Project Zero, die de bug aan Cloudflare meldde en grapte over het feit dat hij Cloudbleed werd genoemd na de beveiligingsbug Heartbleed van 2014.

Is Cloudbleed erger dan Heartbleed?

Op dit punt, nee. Hoe angstaanjagend een inbreuk op de internetbeveiliging ook lijkt, deze waren behoorlijk verschillend. Heartbleed beïnvloedde een half miljoen websites, terwijl op dit moment slechts 3.400 websites de Cloudbleed-bug hebben gehad.

Maar hier is het mogelijk enge deel. Die 3.400 websites lekten privégegevens die afkomstig waren van andere Cloudflare-clients. Het werkelijke aantal daadwerkelijk getroffen websites kan dus veel hoger zijn.

Is Cloudbleed nog steeds actief gevaarlijk?

Nee. Denk aan Cloudbleed als een persoon die een hartaanval overleeft. Het is angstaanjagend en het vereist veranderingen om te voorkomen dat het opnieuw gebeurt. Maar het ergste is nu al voorbij.

Als er een voordeel is aan dit verhaal, is het dat Cloudflare de bug heeft gestopt binnen 44 minuten nadat hij erachter was gekomen en het probleem binnen 7 uur volledig had verholpen.

Het probleem is echter dat de bug websites heeft aangetast die teruggaan tot september, met de hoogte van de breuk tussen 13 en 18 februari. Dus er zullen rimpelingen van gevolgschade optreden als bedrijven meer te weten komen over de bug en of de informatie van hun klanten was betrokken.

Wie is Cloudflare?

Cloudflare biedt essentiële internetinfrastructuur en beveiliging voor miljoenen websites. Op zijn website somt Cloudflare onder meer de namen Nadaq, Bain Capital, OKCupid, ZenDesk en Cisco op onder 'Trusted by'.

Ook al bent u misschien niet bekend met de naam Cloudflare, is de kans groot dat een website die u hebt bezocht het bedrijf gebruikt voor beveiliging of informatieverstrekking.

Welke websites zijn getroffen?

Op dit moment weten we dat Uber, Fitbit en OKCupid er drie direct mee te maken hebben, maar er zijn er nog duizenden.

Als reactie op het nieuws van het lek zijn bedrijven naar Twitter gegaan om het probleem te erkennen en hun klanten gerust te stellen.

Hoeveel mensen lopen een risico vanwege Cloudbleed?

Het is moeilijk om te zeggen, maar het is laag. Zoals ik hierboven al zei, was de piek van de Cloudbleed-bug tussen 13 en 18 februari. In een bericht op de website van Cloudflare staat dat gedurende deze periode ongeveer "1 op de 3.300.000 HTTP-verzoeken via Cloudflare" mogelijk tot geheugenlekken heeft geleid. Die statistiek werd verder opgehelderd om ongeveer 0, 00003 procent van de verzoeken te zijn.

Welke soorten informatie zijn gelekt?

Wanneer u naar het webadres kijkt voor een website waarop u zich bevindt, ziet u soms 'http' aan het begin. Maar wanneer u zich op een beveiligde website bevindt, bijvoorbeeld een aanmeldingsscherm voor een bank of wachtwoord, ziet u aan het begin 'https' om aan te geven dat de pagina veilig is.

Diensten zoals Cloudflare helpen bij het veilig verplaatsen van informatie die op deze 'https'-websites is ingevoerd tussen gebruikers en servers. Wat hier gebeurde is dat een deel van die veilige informatie onverwacht werd opgeslagen, terwijl dat niet had moeten gebeuren. En om het nog erger te maken, werd een deel van de opgeslagen beveiligde informatie gecached door zoekmachines zoals Google, Bing en Yahoo.

Het had dus een gebruikersnaam of wachtwoord kunnen zijn, een foto of frames van een video, maar ook dingen achter de schermen zoals serverinformatie en beveiligingsprotocollen. Op dit moment is er geen indicatie dat hackers toegang hebben gekregen tot deze informatie.

Wat moet ik doen?

Om eerlijk te zijn, niets wat je nu doet, maakt ongedaan wat er is gebeurd. Maar er zijn dingen die u kunt doen om uzelf te beschermen tegen dergelijke dingen die nog een keer gebeuren voordat het volgende op Cloudbleed gelijkende incident plaatsvindt.

Het eerste wat u moet doen, is de wachtwoorden wijzigen voor al uw accounts die Cloudflare gebruiken. Fitbit, OKCupid en Medium zijn er een paar, maar je kunt erachter komen of websites die je gebruikt, afhankelijk zijn van Cloudfare met deze tool.

En gebruik deze als deze websites of services tweestapsverificatie bieden (ook wel verificatie met twee factoren genoemd). Het zorgt ervoor dat zelfs als iemand uw wachtwoord zou achterhalen, zij geen toegang tot uw account zouden kunnen hebben.

We raden u ook aan contact op te nemen met de bedrijven van de sites en services die u gebruikt en hen uw gevoelens te laten weten over het beschermen van uw veiligheid en privacy. Omdat bedrijven zich zorgen maken over Cloudbleed zoals sommige mensen zijn, zullen bedrijven zich ook behoorlijk zorgen maken en horen van hun klanten kan een lange weg maken naar verbetering van de dingen voor iedereen.

Wat gebeurt er nu?

Nogmaals, informatie over Cloudbleed werd vanaf 23 februari openbaar en naarmate we nieuwe informatie over de bug krijgen, zullen we dit artikel updaten.

Tech Culture: van film en televisie tot sociale media en games, hier is jouw plek voor de lichtere kant van technologie.

CNET Magazine: Bekijk een staaltje van de verhalen die je in CNET's kiosk-editie vindt.