Cloud

Hackers tentam invadir datacenter da Cloudflare em São Paulo

Hackers tentaram invadir o datacenter da Cloudflare, ainda não ativado no Brasil, em São Paulo. A própria Cloudflare divulgou nesta quinta-feira, 1º, que seu servidor interno Atlassian foi invadido por um grupo hacker ligado a um Estado-nação que acessou seu wiki do software de colaboração Confluence, o banco de dados de bugs Jira e o sistema de gerenciamento de código-fonte Bitbucket, todos pertencentes à fabricante de software. A informação é do site Ciso Advisor.

O operador da ameaça obteve acesso pela primeira vez ao servidor Atlassian da Cloudflare em 14 de novembro de 2023 e, em seguida, acessou os sistemas Confluence e Jira da empresa após uma fase de reconhecimento. “Eles então retornaram em 22 de novembro e estabeleceram acesso persistente ao servidor usando o ScriptRunner for Jira, obtiveram acesso ao nosso sistema de gerenciamento de código-fonte e tentaram, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, no Brasil”, disse a Cloudflare em um comunicado.

Para acessar os sistemas, os invasores usaram um token de acesso e três credenciais de conta de serviço roubadas durante um comprometimento anterior vinculado à violação do sistema de gerenciamento de identidade e acesso Okta em outubro de 2023, na qual a Cloudflare não conseguiu fazer a rotação — dos milhares vazaram durante o comprometimento.

A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do hacker na manhã do dia seguinte e seus especialistas forenses em segurança cibernética começaram a investigar o incidente três dias depois, em 26 de novembro.

Ao resolver o incidente, a equipe da Cloudflare alternou todas as credenciais de produção — mais de 5 mil exclusivas —, testes segmentados fisicamente e sistemas de preparação, realizou triagem forense em 4.893 sistemas, recriava imagens e reinicializava todos os sistemas na rede global da empresa, incluindo todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.


Os operadores da ameaça também tentaram invadir o data center da Cloudflare em São Paulo — que ainda não é usado na produção — mas as tentativas falharam. Todos os equipamentos do data center foram posteriormente devolvidos aos fabricantes para garantir que o data center venha a ser 100% seguro. Os esforços de remediação terminaram há quase um mês, em 5 de janeiro, mas a empresa afirma que sua equipe ainda está trabalhando no fortalecimento do software, bem como no gerenciamento de credenciais e vulnerabilidades.

A empresa afirma que a violação não afetou os dados ou sistemas dos clientes. Os serviços, sistemas de rede global ou configuração também não foram afetados. “Embora entendamos que o impacto operacional do incidente é extremamente limitado, levamos esse incidente muito a sério porque o operador de ameaça usou credenciais roubadas para obter acesso ao nosso servidor e acessou alguma documentação e uma quantidade limitada de código-fonte”, disse a Cloudflare.

Botão Voltar ao topo