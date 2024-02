Компанія Cloudflare повідомила сьогодні, що її внутрішній сервер Atlassian був зламаний підозрюваним «зловмисником проти держави», який отримав доступ до вікі Confluence, бази даних помилок Jira та системи управління вихідним кодом Bitbucket.

Зловмисник вперше отримав доступ до власного сервера Atlassian компанії Cloudflare 14 листопада, а потім, провівши розвідку, отримав доступ до систем Confluence та Jira компанії.

Для доступу до її систем зловмисники використали один токен доступу та три облікових записи, викрадені під час попередньої компрометації, пов’язаної з витоком Okta (яка є важливою частиною систем кібербезпеки великих корпорацій) у жовтні 2023 року, який Cloudflare не змогла відновити, передає Bleeping Computer.

Cloudflare виявила зловмисну активність 23 листопада, вранці 24 листопада перервала доступ хакера, а через три дні, 26 листопада, її фахівці з кібербезпеки почали розслідування.

Під час вивчення деталей інциденту співробітники Cloudflare провели ротацію всіх виробничих облікових даних (понад 5 000 унікальних), фізичну сегментацію тестових і постановчих систем, виконали криміналістичне сортування 4 893 систем, створили новий образ і перезавантажили всі системи в глобальній мережі компанії, включаючи всі сервери Atlassian (Jira, Confluence і Bitbucket) і машини, до яких отримував доступ зловмисник.

Роботи з усунення наслідків закінчилися майже місяць тому, 5 січня, але компанія заявляє, що її співробітники все ще працюють над зміцненням програмного забезпечення, а також над управлінням обліковими даними й вразливостями.

On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server. Our security team immediately began investigating, cut off the threat actor’s access, and no Cloudflare customer data or systems were impacted. https://t.co/sL5glOqDIZ

— Cloudflare (@Cloudflare) February 1, 2024