erst kürzlich wurde durch Googles Project-Zero bekannt, dass Cloudflare durch einen Fehler in ihrem HTML Parser vertrauliche Informationen (dazu können Passwörter, private Nachrichten, OAUTH Tokens, etc. zählen) quer im Internet verteilte.
Nun verwendet rocketbeans.tv offensichtlich auch genau dieses Cloudflare Feature, wie ich das sehe. Diese sensiblen Informationen, die Cloudflare über Monate hinweg geleaked hat, sind bereits in diversen Suchmaschinen Caches enthalten. Meiner bescheidenen Meinung nach ist es nicht auszuschließen, dass ebenfalls sensible Daten von rocketbeans.tv Usern betroffen sein könnten. Dabei ist es interessant zu wissen, dass Cloudflare durch die schiere Anzahl an Servern, vor denen sie geschaltet sind, auch Daten von komplett anderen durch Cloudflare geschützen Seiten geleaked haben können. D.h. es könnte auch sein, dass eine komplett andere Website private Daten von rocketbeans.tv geleaked haben könnte.
Ich möchte hier nicht die Pferde scheu machen, aber womöglich könnte eine Passwortänderung (sollte eh immer mal wieder gemacht werden) nicht schaden. Der Fehler ist nämlich seitens Cloudflare mittlerweile behoben.
Übrigens könnt ihr auf dieser Seite sehen, welche Domains Cloudflare einsetzen: http://www.doesitusecloudflare.com/
ACHTUNG: Das heißt nicht, dass auf jeden Fall private Daten geleaked wurden, es besteht dann lediglich die Möglichkeit! Dennoch kann man auch hier über eine Passwortänderung oder über das Aktivieren von 2-F A nachdenken.
Sorry für die späte Antwort, der Thread ist bei mir leider untergegangen.
CloudFlare hat uns am Donnerstag mitgeteilt, dass unsere Domain nicht betroffen sei und das sie keinerlei Daten von rocketbeans.tv in dem vom Bug betroffenen Cache gefunden haben. Sie wollten sich nochmals melden, falls sie doch noch Daten finden sollten - das ist aber, wie gesagt, seit Donnerstag nicht geschehen.
EDIT: Das ist m.E. übrigens hervorragendes Krisenmanagement. Sie haben wenige Stunden nach Kontaktaufnahme des Google Project Zero Mitarbeiters bereits den Bug behoben und haben daraufhin die geleakten Daten analysiert und betroffene Kunden kontaktiert, bzw. nicht betroffenen Kunden Entwarnung gegeben. Besser wäre nur gewesen, wenn es nie passiert wäre, aber die Reaktion/Kommunikation und der offene Umgang damit hätte m.E. nicht besser verlaufen können.
Ich kann nur jedem empfehlen einen Passwortmanager wie zum Beispiel Dashlane zu benutzen. JA, es ist mit Kosten verbunden, aber dafür ist das Passwort auch wirklich sicher.
Man lässt sich für jede Webseite ein eigenes Passwort generieren (welches man nicht mal selbst auswendig kennt), speichert es in der Software ab und wird per Browser-Plugin automatisch auf der Webseite angemeldet. Ist im Endeffekt komfortabler da man sich kein Passwort merken muss und um einiges sicherer.
Die späte Antwort ist doch kein Problem. Tatsächlich hätte ich sogar gar nicht damit gerechnet, dass Cloudflare mit euch (also jedem seiner Kunden) Kontakt aufnimmt.
Schön zu hören, dass sie keine Daten von rb.tv gefunden haben.
Zum Krisenmanagement muss ich dir Recht geben. Es ist beachtlich, dass Cloudflare rechtzeitig den Ernst der Lage erkannt hat und die richtigen Leute dort ein paar Überstunden eingelegt haben. Das spricht trotz des Fehlers in der Tat für Cloudflare.
Dafür gibt es Sicherheitsmaßnahmen. Die Passwörter werden entweder lokal gespeichert (PC kaputt -> Passwörter in der App oder man macht davor ein Backup) oder auf dem Server. Auf dem Server werden sie natürlich verschlüsselt. Da kannst du bei komplex generierten Passwörtern ewig probieren bis du die Verschlüsselung bei auch nur einem knackst.
Du kannst aber auch 20 komplexe Passwörter auswendig lernen und regelmäßig wechseln. Jeder wie er will.