Mit seinem Content Delivery Network (CDN) und seinem DNS-Dienst spielt Cloudflare weltweit eine zentrale Rolle im Internet. Demzufolge ist der Dienst besonders schützenswert. Ende 2023 konnten sich Angreifer Zugriff auf bestimmte Netzwerkbereiche verschaffen. In einem aktuellen Bericht schildert das Unternehmen den Ablauf der Attacke. In einem Blogbeitrag gibt Cloudflare an, dass der Vorfall im November 2023 stattgefunden hat. Die Aufarbeitung des Falls ergab, dass die unbekannten Angreifer mehrere Tage Zugriff auf verschiedene Systeme hatten. Cloudflare geht von staatlich gesponserten Angreifern aus. Das Unternehmen versichert, dass es keine Zugriffe auf Daten oder Systeme von Kunden gegeben hat. Eigenen Angaben zufolge wurden die Systeme mittlerweile bereinigt. Cloudflare betont, dass aufgrund der Zero-Trust-Infrastruktur nur bestimmte Bereiche von dem Sicherheitsvorfall betroffen waren. So sollen etwa keine Dienste in Mitleidenschaft gezogen worden sein und die Angreifer konnten auch keine Änderungen im globalen Netzwerksystem vornehmen. Dennoch konnten sie Cloudflare zufolge unter anderem auf das interne Wiki und die Bug-Datenbank zugreifen. Außerdem haben sie sich persistenten Zugriff auf einen Atlassian-Server mit Sourcecode verschafft. Überdies habe es Zugriffe auf ein Datencenter in Brasilien gegeben, das aber bislang nicht in Betrieb war. Primär sollen die Angreifer Ausschau nach Informationen über die interne Cloudflare-Architektur und Sicherheitsaspekte des globalen Netzwerks gehalten haben. Einstiegspunkte für die Angreifer waren ein Zugriffstoken und drei Service-Accounts, die bei einer Attacke auf den Identitäts- und Zugangsverwaltungsdienstleister Okta im November 2023 kopiert wurden. An dieser Stelle räumt das Unternehmen Versäumnisse ein. Nach dem Okta-Hack haben sie nicht alle Zugangsdaten geändert. Weiterführende Informationen zu der Attacke und dem zeitlichen Ablauf führt das Unternehmen in seinem Blog aus.
