חברת Cloudflare חשפה כי השרת הפנימי שלה Atlassian נפרץ על ידי האקרים אשר השיגו גישה ל- Confluence wiki, למסד נתוני באגים Jira ולמערכת ניהול קוד המקור של Bitbucket. ההאקרים השיגו לראשונה גישה לשרת Atlassian המתארח בעצמו ב- Cloudflare ב- 14 בנובמבר ולאחר מכן ניגשו למערכות Confluence ו- Jira של החברה. ההאקרים חזרו ב- 22 בנובמבר וביססו גישה מתמשכת לשרת Atlassian באמצעות ScriptRunner עבור Jira, השיגו גישה למערכת ניהול קוד המקור (המשתמשת ב- Atlassian Bitbucket), וניסו, ללא הצלחה, לגשת לשרת קונסולה שהיתה לו גישה למרכז נתונים ש- Cloudflare עדיין לא העבירה למבצעיות בסאו פאולו ברזיל.
כדי לגשת למערכות המחשוב של Cloudflare השתמשו ההאקרים באסימון גישה אחד ושלושה אישורי חשבון שירות שנגנבו במהלך פריצה קודמת הקשורה ל- Okta באוקטובר 2023. חברת Cloudflare זיהתה את הפעילות הזדונית ב- 23 בנובמבר, ניתקה את הגישה של ההאקרים בבוקר ה- 24 בנובמבר ומומחי הזיהוי הפלילי שלה בתחום אבטחת הסייבר החלו לחקור את התקרית שלושה ימים לאחר מכן, ב- 26 בנובמבר. תוך כדי טיפול בתקרית, איתחל הצוות של Cloudflare את כל אישורי הייצור (למעלה מ- 5,000), ביצע בדיקה פורנזית ב- 4,893 מערכות, צילם מחדש ואיתחל את כל המערכות ברשת הגלובלית של החברה, כולל כל שרתי Atlassian (Jira, Confluence, ו- Bitbucket) וכן מכונות אליהם ניגשו ההאקרים. ההאקרים גם ניסו לפרוץ למרכז הנתונים של Cloudflare בסאו פאולו – שעדיין לא נעשה בו שימוש מבצעי – אך הניסיונות הללו נכשלו. כל הציוד במרכז הנתונים של Cloudflare בברזיל הוחזר מאוחר יותר ליצרנים כדי להבטיח שמרכז הנתונים יהיה מאובטח ב- 100%.
עבודת ההתאוששות הסתיימה לפני כחודש, ב- 5 בינואר, אך החברה אומרת שהצוות שלה עדיין עובד על הקשחת תוכנות, כמו גם על ניהול אישורים ופגיעויות. החברה טוענת שפריצת סייבר זו לא השפיעה על נתוני לקוחות וגם השירותים, מערכות הרשת העולמיות או התצורה שלה לא הושפעו. בהתבסס על שיתוף הפעולה של חברת Cloudflare עם עמיתים בתעשייה ובממשלה, מאמינים בחברה שמתקפת הסייבר בוצעה על ידי האקרים בחסות מדינת לאום במטרה להשיג גישה מתמשכת ונרחבת לרשת הגלובלית של Cloudflare. לדבריהם: "מניתוח דפי הוויקי אליהם ניגשו ההאקרים, בעיות במסד נתוני הבאגים ומאגרי קוד המקור, נראה שההאקרים חיפשו מידע על הארכיטקטורה, האבטחה והניהול של הרשת הגלובלית שלנו; ללא ספק עם מטרה להשגת דריסת רגל עמוקה יותר".
נזכיר כי ב- 18 באוקטובר 2023, נפרץ מופע Okta של Cloudflare באמצעות אסימון אימות שנגנב ממערכת התמיכה של Okta. ההאקרים שפרצו את מערכת תמיכת הלקוחות של Okta השיגו גישה לקבצים השייכים ל- 134 לקוחות, כולל 1Password, BeyondTrust ו- Cloudflare. לאחר התקרית באוקטובר 2023, אמרה החברה שהתגובה המהירה של צוות התגובה שלה לאירועי אבטחת מידע הכיל וצמצם את ההשפעה על מערכות המחשוב ונתוני Cloudflare וכי לא הייתה השפעה של מידע או מערכות של לקוחות Cloudflare. ניסיון נוסף לפרוץ את המערכות של Cloudflare נחסם באוגוסט 2022 לאחר שהאקרים ניסו להשתמש באישורי עובדים שנגנבו במתקפת דיוג, אך נכשל מכיוון שלא הייתה להם גישה למפתחות האבטחה תואמי FIDO2.
