Em um recente comunicado à imprensa, a Cloudflare, gigante da tecnologia conhecida por sua rede de distribuição de conteúdo (CDN) e serviços de proteção DDoS, revelou que foi alvo de um ataque cibernético. O ataque foi facilitado pelo uso indevido de uma chave de acesso pertencente à Okta, uma empresa especializada em segurança de identidade on-line, após um incidente de segurança na Okta em outubro de 2023.

O incidente, que foi divulgado por meio de uma postagem em um blog, teve origem em uma violação de segurança na Okta, afetando o sistema de gerenciamento de relacionamento com o cliente da empresa. Um agente mal-intencionado conseguiu acessar e baixar um relatório contendo nomes, endereços de e-mail e outros dados críticos, colocando em risco as contas de administrador da Okta.

Entre 14 e 17 de novembro de 2023, o invasor realizou um reconhecimento dos sistemas da Cloudflare, acessando seu wiki interno e seu banco de dados de bugs, bem como seu sistema de gerenciamento de código-fonte. Ele também tentou acessar um servidor de console que tinha acesso a um data center em São Paulo.

Os registros de acesso revelaram que o invasor usou um único token de acesso e três credenciais de conta de serviço roubadas durante a violação da Okta, que a Cloudflare não havia renovado com rapidez suficiente. Apesar da aparente extensão das atividades do invasor durante o período de três dias, seus movimentos dentro da rede da empresa foram restringidos pelos sistemas de segurança em vigor, e o acesso foi finalmente cortado em 24 de novembro.

A Cloudflare atribuiu o incidente a um agente estatal sofisticado, destacando a abordagem metódica e meticulosa do invasor. Em resposta a essa violação significativa, a Cloudflare lançou uma operação de Código Vermelho, mobilizando recursos significativos para reforçar a segurança, examinar os sistemas acessados e implementar a rotação total de credenciais e o fortalecimento do sistema.

Apesar do escopo relativamente limitado da invasão, a Cloudflare tomou medidas rigorosas para eliminar quaisquer vulnerabilidades potenciais ou resquícios do ataque que o agente mal-intencionado pudesse usar para recuperar o acesso, incluindo a substituição de hardware em um data center em São Paulo como medida de precaução. Uma investigação independente da CrowdStrike corroborou as descobertas da Cloudflare, confirmando que as atividades do agente da ameaça estavam confinadas ao ambiente da Atlassian reconhecido como comprometido.

A Cloudflare compartilhou indicadores de comprometimento (IoCs) para ajudar outros clientes da Okta a detectar atividades semelhantes. No entanto, com base nas evidências coletadas, a empresa não conseguiu atribuir o ataque a um grupo de ameaças conhecido ou documentado.

Mateus Sousa da Silva

Especialista em tecnologia e proteção de dados, com expertise em cibersegurança e jornalismo digital. Apaixonado por direitos digitais e privacidade online, oferece insights relevantes sobre as tendências tecnológicas atuais.