LeCab

LeCab blockiert mit Cloudflare Rate Limiting 900.000 Angriffe auf die Anmeldeseite in nur zwei Stunden.

le-cab-graphic

LeCab ist der führende private Fahrservice in Paris. Hinter seiner Gründung im Jahr 2012 stand eine einfache Idee: den Menschen in Paris eine komfortable, zuverlässige und erschwingliche Alternative zu Taxis und Privatautos zu bieten.

Herausforderung für LeCab: Großes Wachstum bringt große Angriffe „Eines Tages waren wir einem Angriff ausgesetzt, der unsere Website verlangsamte und unbrauchbar machte“, erzählt Tobias Rohrle, CTO von LeCab. „Unser Host stellte uns mehr Bandbreite zur Verfügung, aber dann wurde er von der Größe des Angriffs überwältigt. Der Angriff war zu groß, hatte zu viele IPs, und selbst nach der Blockierung von Ländern, von denen wir wussten, dass der illegitime Traffic für unseren Dienst von ihnen ausging, war der Angriff immer noch zu überwältigend. Leider war dieser Angriff kein Einzelfall. Es war ein klassischer DDoS-Angriff, und wir wussten, dass wir wieder mit einem konfrontiert werden würden. Also haben wir sofort den Schutz verstärkt und uns auf die Suche nach einer dauerhaften Lösung gemacht.“

„Sechs Monate später“, so Rohrle weiter, „sahen wir uns einem weiteren, viel größeren Brute-Force-Anmeldeangriff ausgesetzt. Es vergingen Stunden, bis wir ihn bemerkten, weil er nicht versuchte, unsere Infrastruktur zu zerstören, sondern vielmehr in sie eindringen wollte, indem er sich als legitimer Nutzer ausgab. Wir entdeckten den Angriff erst, als wir untersuchten, warum das Einloggen in unsere Anwendung länger als üblich dauerte – es stellte sich heraus, dass die Angreifer eine gewaltige Anzahl von Login- und Passwort-Kombinationen testeten, um in Konten einzudringen. Uber wurde Ende 2016 gehackt, und wir glauben, dass der Uber-Angreifer gestohlene Anmeldedaten bei unserer Datenbank getestet hat. Sollte nur ein einziger Angriff wie dieser erfolgreich sein, wäre das eine Katastrophe für unser Geschäft. Wir mussten unseren Dienst mit dem richtigen Schutz versehen, damit sich so etwas bei uns nicht wiederholen kann.“

LeCabs Lösung: Leistungsstarker Schutz und Rate Limiting „Wir wussten, dass andere französische Wettbewerber dem gleichen Angriff ausgesetzt gewesen waren und ihn mithilfe von Cloudflare blockiert hatten. Deshalb haben wir uns selbst diese Lösung angesehen", erklärt Rohrle. „In der Nacht des ersten Angriffs registrierten wir uns tatsächlich bei Cloudflare für den Free Plan und sahen sofort, wie effektiv die Lösung war. Unsere Website war innerhalb von Stunden wieder online, und obwohl wir nur den Free Plan hatten, war das immer noch effektiv genug, um den Angriff auf uns zu stoppen.“

„Als wir dem größeren Angriff ausgesetzt waren, wussten wir, dass wir etwas brauchten, das unsere Infrastruktur vor einem Performance-Einbruch durch den Angriff bewahrte und, was noch wichtiger war, gleichzeitig unsere sensiblen Kundendaten vor Diebstahl schützte. Cloudflares Enterprise Plan mit Rate Limiting war die perfekte Lösung, mit der wir unsere Abwehr auf Softwareebene an die Edge von Cloudflare verschoben haben. Mit Rate Limiting konnten wir über 900.000 Login-Versuche in nur zwei Stunden blockieren. Ich bin überzeugt, dass sich ohne den Schutz von Cloudflare die Angriffe, die uns zuerst vom Netz genommen haben, wiederholen würden.“

Rohrle schließt: „Cloudflare gibt uns und unseren Kunden ein beruhigendes Gefühl. Unsere Kunden haben dadurch die Gewissheit, dass ihre Daten sicher sind, und es steigert Performance und Zuverlässigkeit, weil böswilliger Traffic unsere Server nicht erreicht."

LeCab
Verwandte Fallstudien
Verwandte Produkte

„Cloudflare gibt uns und unseren Kunden ein beruhigendes Gefühl. Unsere Kunden haben dadurch die Gewissheit, dass ihre Daten sicher sind, und es steigert Performance und Zuverlässigkeit, weil böswilliger Traffic unsere Server nicht erreicht.”

Tobias Rohrle
CTO