В Cloudflare рассказали подробности об атаке, которая произошла на День благодарения — 23 ноября 2023 года. Тогда злоумышленники получили доступ к ее серверам и исходному коду.
В ходе расследования инцидента при помощи экспертов из CrowdStrike установили, что доступ был получен через один украденный токен Okta и три скомпрометированных учетных записи, данные для входа в которые не были изменены после октябрьского инцидента с самой системы управления поддержкой.
Хакеры начали подготовку к инциденту 14 ноября и устроили разведку, которая длилась до 17 ноября. Ее итогом стало получение доступа к корпоративным Atlassian Confluence и Jira. Специально для атаки они создали учетную запись пользователя и сумели добраться до системы управления исходным кодом на основе Atlassian Bitbucket. После этого хакеры попытались получить доступ к консольному серверу в бразильском Сан-Паулу, который на момент атаки находился в стадии тестирования.
Компания признала, что не обновила своевременно данные в скомпрометированных аккаунтах, так как считала, что они не используются. Также в Cloudflare заявили, что после инцидента сменили порядка пяти тысяч комбинаций данных для входа.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.