A empresa americana Cloudflare relatou uma invasão de hackers em sua infraestrutura de TI. Os especialistas em segurança CrowdStrike estiveram envolvidos na investigação do incidente: alega-se que hackers do governo de um determinado estado podem estar envolvidos no ataque cibernético. Como resultado da investigação, a empresa decidiu reequipar seu data center no Brasil.
Diz-se que para penetrar na rede interna da Cloudflare, os invasores usaram o token de acesso e as credenciais de três contas de serviço que foram roubadas durante o hack do Okta em outubro de 2023. De 14 a 17 de novembro do ano passado, os cibercriminosos realizaram o reconhecimento dos sistemas Cloudflare e depois obtiveram acesso a bases de conhecimento e rastreadores internos (Atlassian Confluence e Jira).
Imagem: Cloudflare
E já no dia 22 de novembro, os hackers estabeleceram acesso permanente ao servidor Atlassian e ao sistema de gerenciamento de código-fonte Cloudflare (Atlassian Bitbucket). Seguiu-se uma tentativa frustrada de se estabelecer num servidor que tenha acesso ao data center Cloudflare em São Paulo (Brasil): este data center ainda não foi colocado em pleno funcionamento. A Cloudflare detectou atividades maliciosas em 23 de novembro e imediatamente tomou medidas de proteção: no dia seguinte, todas as conexões dos invasores foram cortadas.
A investigação mostrou que hackers podem ter roubado alguma documentação e uma quantidade limitada de código-fonte. Analisando os documentos acessados pelos invasores, bancos de dados de erros e repositórios de códigos-fonte, os especialistas chegaram à conclusão de que os invasores buscavam informações sobre a arquitetura, recursos de segurança e gerenciamento da rede global Cloudflare.
Imagem: Cloudflare
No processo de eliminação das consequências da intrusão, todas as contas, cujo número ultrapassava 5.000, foram alteradas.Além disso, 4.893 sistemas foram verificados, todas as máquinas da rede global foram reiniciadas, incluindo todos os nós Atlassian (Jira, Confluence e Bitbucket), bem como servidores que poderiam ter acesso de hackers.
Para garantir total segurança dos sistemas do data center brasileiro, equipamentos dele foram enviados aos fabricantes para testes. Nenhum componente malicioso foi detectado, mas a Cloudflare ainda decidiu substituir todos esses componentes de hardware. A empresa provavelmente estava cautelosa com o cenário ESG do Barracuda.