Cloudflare je izvijestio da su njegovi sustavi probijeni na Dan zahvalnosti 2023., što je omogućilo akterima prijetnji neovlašteni pristup izvornom kodu. Pružatelj IT usluga otkrio je da je napad, koji se dogodio 23. studenog 2023., izveo akter iz nacionalne države koristeći ukradene vjerodajnice stručnjaka za upravljanje identitetom i pristupom (IAM) Okta.
Cloudflare je priznao da "nije uspio rotirati" ukradene vjerodajnice iz Okta kršenja, ostavljajući tvrtku ranjivom na napad. Međutim, tvrtka je naglasila da nikakvi korisnički podaci ili sustavi nisu bili ugroženi tijekom incidenta zbog okruženja bez povjerenja, što je ograničilo sposobnost aktera prijetnje da se pomakne bočno. Napad je uspješno zaustavljen 24. studenog, a sve veze i pristup akteru prijetnje prekinuti.
Nezavisna analiza koju je proveo Crowdstrike potvrdila je detalje incidenta, a Cloudflare je pružio opsežan prikaz kršenja u postu na blogu objavljenom 1. veljače 2024. U postu su navedeni konkretni načini na koje su napadači stekli neovlašteni pristup sustavima tvrtke i korake koje je poduzeo Cloudflare za otkrivanje i otklanjanje kršenja.
Tijekom početnog kršenja Okta 18. listopada 2023., napadači su dobili jedan token usluge i tri vjerodajnice računa usluge povezane s Cloudflareom. Te su vjerodajnice omogućile pristup različitim sustavima, uključujući sustav Atlassian, aplikaciju Smartsheet temeljenu na SaaS-u i sustav za upravljanje izvornim kodom.
Prema Cloudflareu, ukradene vjerodajnice nisu rotirane jer se pogrešno vjerovalo da su neiskorištene. Glumac prijetnje počeo je tražiti načine za pristup Cloudflareovim sustavima 14. studenoga, koristeći ukradene vjerodajnice za ulazak u sustave Atlassian Jira i Confluence. Kad su ušli unutra, napadači su tražili informacije o konfiguraciji i upravljanju Cloudflareovom globalnom mrežom, pristupajući višestrukim Jira ulaznicama kao i preuzimajući 76 repozitorija kodova koji se odnose na konfiguraciju i upravljanje sustavom u Cloudflareu.
Proboj je otkriven 23. studenog, što je natjeralo Cloudflareov sigurnosni tim da odmah poduzme radnje kako bi deaktivirao kompromitirane račune i uklonio zlonamjerni softver koji je instalirao akter prijetnje. Tvrtka je potvrdila da su napadači pokušali pristupiti drugim sustavima na njezinoj mreži, ali su na kraju bili zadržani unutar paketa Atlassian, sprječavajući bilo kakav neovlašteni pristup korisničkim podacima ili osjetljivim sustavima.
Nakon incidenta, Cloudflare je pokrenuo projekt pod nazivom "Code Red" kako bi ojačao svoju obranu i osigurao se od budućih upada. To je uključivalo sveobuhvatan napor da se poprave ukradeni repozitorij izvornog koda, rotiranje više od 5000 pojedinačnih vjerodajnica, fizičko rotiranje testnih i stacionarnih sustava, te izvođenje forenzičkih trijaža na gotovo 5000 sustava. Dodatno, svaki stroj u Cloudflareovoj globalnoj mreži, uključujući sve Atlassianove proizvode, ponovno je snimljen i ponovno pokrenut kako bi se spriječio bilo kakav dugotrajni pristup aktera prijetnje.
Tvrtka je naglasila navodno državnu prirodu napada, napominjući da sofisticirana i metodična taktika koju je koristio akter prijetnje ukazuje na dublji motiv za dobivanje stalnog i širokog pristupa Cloudflareovoj globalnoj mreži. Cloudflare je izjavio da je surađivao s kolegama iz industrije i vlade kako bi došao do ovog zaključka.
Zaključno, proboj Cloudflarea služi kao jasan podsjetnik na stalnu prijetnju koju predstavljaju nacionalni državni akteri i važnost održavanja robusnih mjera kibernetičke sigurnosti za zaštitu od sofisticiranih napada. Odgovor tvrtke na incident naglašava ključnu ulogu brzog otkrivanja, obuzdavanja i sveobuhvatnih napora za sanaciju radi zaštite od potencijalnih povreda podataka i neovlaštenog pristupa osjetljivim informacijama.
Croatian 
English 
Albanian 
Serbian 