Aanvallers zijn er via een phishingaanval in geslaagd om gebruikersnamen en wachtwoorden van medewerkers van Cloudflare te stelen en probeerden hiermee vervolgens op systemen van het internetbedrijf in te loggen. Doordat Cloudflare het gebruik van een fysieke beveiligingssleutel voor alle medewerkers als tweefactorauthenticatie vereist kregen de aanvallers geen toegang, zo laat het bedrijf in een blogposting weten.

Vermoedelijk is de aanval uitgevoerd door dezelfde aanvallers die eerder via een succesvolle phishingaanval wisten in te breken op interne systemen van cloudcommunicatieplatform Twilio. Net als bij de aanval op Twilio werd er bij de aanval op Cloudflare gebruikgemaakt van sms-berichten. De berichten linkten naar een phishingsite. Drie medewerkers van Cloudflare vulden daar hun inloggegevens in. Met de verkregen gegevens werd geprobeerd om op systemen va Cloudflare in te loggen. Aangezien de aanvallers niet over de vereiste fysieke beveiligingssleutel beschikten kregen ze geen toegang, aldus Cloudflare.

De phishingwebsite in kwestie was niet alleen opgezet om inloggegevens van personeel te stelen, maar probeerde ook de remote administration software AnyDesk geïnstalleerd te krijgen. Daarmee hadden de aanvallers systemen van de betreffende medewerkers op afstand kunnen overnemen, maar dat is niet het geval geweest, zo laat Cloudflare verder weten.

Naar aanleiding van het incident heeft Cloudflare onder andere de wachtwoorden van getroffen medewerkers gereset en de infrastructuur van de aanvallers samen met hostingprovider Digital Ocean offline gehaald. Verder laat de aanval volgens het internetbedrijf zien hoe belangrijk het gebruik van fysieke beveiligingssleutels is. Cloudflare claimt dat er sinds de invoering van dergelijke sleutels geen enkele succesvolle phishingaanval heeft plaatsgevonden.