Wachtwoordadvies in verband met mogelijk veiligheidslek CloudFlare
Vandaag werd ons bekend dat bij CloudFlare, een dienstverlener waar FOK! gebruik van maakt voor performance-optimalisatie en beveiliging, een datalek heeft bestaan. Dit lek zorgde ervoor dat het mogelijk was dat gegevens die langs hun servers kwamen, zichtbaar waren voor derden. CloudFlare heeft het lek gedicht en schat de kans dat er veel privégegevens openbaar geworden zijn in als erg klein.
Voor gebruikers van FOK! is het grootste veiligheidsrisico dat, tijdens een loginsessie, het gebruikte wachtwoord ergens buiten onze servers zichtbaar is geworden. Dat betekent dat potentieel iemand andermans FOK!login zou kunnen hebben achterhalen, en dus gebruik kan maken van dat account. Hoewel de kans dat dat is gebeurd volgens CloudFlare bijzonder klein is, willen we alle gebruikers toch graag een wachtwoordwijziging, uit voorzorg, in overweging geven. Het is niet nodig om halsoverkop richting een wachtwoordwijziging te rennen, maar in dit soort gevallen geldt altijd dat het bij twijfel nooit kwaad kan om je wachtwoord even te wijzigen. Het is immers sowieso, uit veiligheidsoogpunt, verstandig om af en toe wachtwoorden aan te passen.
Als je je FOK!wachtwoord wil wijzigen, dan kan dat op de wijzig profiel-pagina. Je hebt hiervoor je huidige wachtwoord nodig. Kies een veilig nieuw wachtwoord, en zeker geen wachtwoord dat je ooit ergens anders hebt gebruikt.
Nogmaals: de kans dat er iets is uitgelekt is, voor zover bekend, klein, maar het kan nooit kwaad om jezelf een beetje extra zekerheid te geven. Over hoe we bij FOK! wachtwoorden opslaan kun je hier meer informatie vinden.
Mocht er aanvullende (voor FOK!kers) relevante informatie bekend worden over het CloudFlare-lek, dan zullen we dat melden.
Update 18:17 uur:
Uit nader contact met CloudFlare blijkt dat de gegevens van onze site in ieder geval niet in de zoekmachines zijn terechtgekomen. Uit de mailwisseling:
"Your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found. [...] If we discover new information that impacts you, we will reach out to you directly."
