Cloudflare brengt een aantal wijzigingen aan in de wijze waarop het systeem omgaat met abuse meldingen. Gebruikers kunnen voortaan klachten indienen bij het bedrijf over websites die gebruik maken van Cloudflare, zonder dat hun identiteit bekend wordt bij deze websites.
Het Amerikaanse bedrijf kreeg onlangs flinke kritiek te verwerken in een artikel op ProPublica. Ken Schwencke wijst in dit artikel op de faciliterende rol die Cloudflare speelt in het beschikbaar maken van extreemrechtse websites. Niet alleen beschermt Cloudflare deze sites tegen DDoS-aanvallen, ook geeft het bedrijf volgens Schwencke gegevens over personen die klachten indienen over de sites door aan de beheerders hiervan. ProPublica geeft aan dat dit niet altijd zonder consequenties is. Zo zouden personen die klagen over extreem-rechtse websites in sommige gevallen worden lastiggevallen en bedreigd door beheerders van deze websites.
Blinde vlek
In een blogpost reageert Matthew Prince, mede-oprichter en CEO van Cloudflare, op de kritiek. Prince geeft aan dat de wijze waarop Cloudflare met abuse meldingen omgaat in de afgelopen 6,5 jaar flink is ontwikkeld. Dit heeft helaas ook geleid tot een ‘blinde vlek’ voor situaties zoals die in het artikel van ProPublica wordt beschreven, stelt Prince.
Prince wijst erop dat Cloudflare geen hosting provider is en dus geen controle heeft over content die wordt vertoond op websites die gebruik maken van Cloudflare. Ook als Cloudflare het contract met deze partij opzegt, blijft deze content online beschikbaar. Prince stelt dat Cloudflare zich richt op het leveren van beveiliging voor website-eigenaren. Onderdeel hiervan is het afschermen van de locatie waar de content van deze providers is gehost. Dit is belangrijk om te voorkomen dat cybercriminelen de bescherming die Cloudflare biedt kunnen omzeilen.
IP-adres doorgeven
Eerder hanteerde Cloudflare een andere werkwijze, waarbij het IP-adres van de website werd doorgegeven aan de persoon die een klacht indiende. Dit principe werd echter misbruikt door cybercriminelen, die hiermee eveneens het IP-adres van de website in handen konden krijgen. Dit stelde kwaadwillenden in staat Cloudflare te omzeilen en de website rechtstreeks aan te vallen.
Cloudflare is daarom van overgestapt op een andere werkwijze, waarbij Cloudflare abuse meldingen doorstuurt naar de website-eigenaar. Om de communicatie tussen de klager en content provider te faciliteren verstrekt het bedrijf contactgegevens van de klager aan de content provider. Na verloop van tijd ontving het bedrijf echter enkele berichten over klagers die werden bedreigd door website-eigenaren nadat meldingen over kindermisbruik of geweld waren ingediend. Het bedrijf heeft daarom besloten abuse meldingen over dit soort onderwerpen alleen nog door te sturen naar de hosting provider waar een website wordt gehost.
‘Hosting provider gaf contactgegevens door’
Prince geeft aan dat ook in de gevallen die door ProPublica wordt genoemd deze werkwijze is gehanteerd. Het bedrijf geeft dus aan de contactgegevens van klagers niet rechtstreeks aan website-eigenaren te hebben doorgespeeld, maar naar de hosting providers die deze websites hosten. Prince vermoedt dat deze provider de abuse meldingen vervolgens in zijn geheel hebben doorgezet naar de website-eigenaren, inclusief contactgegevens van de klagers.
Tot slot wijst Prince erop dat Cloudflare bij zijn abuse formulier duidelijk aangeeft dat het volledige rapport van klagers wordt doorgestuurd naar zowel de hosting provider als de website-eigenaar. Prince stelt dat helaas in de praktijk blijkt dat veel klagers deze disclaimer niet lezen. Het bedrijf gaat gebruikers daarom nu de mogelijkheid bieden expliciet aan te geven dat hun contactgegevens niet doorgestuurd mogen worden naar de hosting provider en website-eigenaar.
Valse contactgegevens opgeven
Prince wijst er overigens ook op dat als Cloudflare niet zou bestaan, klagers hun klachten rechtstreeks zouden moeten indienen bij de website-eigenaar of de hosting provider. Wie in dit geval anoniem wil blijven, kan gebruik maken van een tijdelijk e‑mailadres en valse contactgegevens. Ook geeft Prince aan dat Cloudflare deze contactgegevens niet controleert en er vanuit is gegaan dat gebruikers die anoniem willen blijven deze werkwijze zouden hanteren.
Meer informatie is te vinden in de blogpost van Matthew Prince.
