L'azienda, che non ha identificato gli hacker, ha dichiarato in un post sul blog di aver scoperto gli intrusi durante il Giorno del Ringraziamento, alla fine di novembre, e di averli espulsi il giorno successivo. Le spie sono riuscite ad accedere ad "alcune documentazioni e ad una quantità limitata di codice sorgente", ma Cloudflare ha dichiarato che l'impatto operativo dell'intrusione è stato "estremamente limitato".
"Sulla base della nostra collaborazione con i colleghi del settore e del governo, riteniamo che questo attacco sia stato eseguito da un aggressore dello Stato nazionale con l'obiettivo di ottenere un accesso persistente e diffuso alla rete globale di Cloudflare".
Cloudflare ha detto di aver chiamato la società di cybersicurezza CrowdStrike per aiutare a rimediare alla violazione e che l'azienda ha confermato che l'ultima prova di "attività di minaccia" è stata lasciata il 24 novembre.
CrowdStrike non ha risposto immediatamente a una richiesta di commento. Anche l'FBI e l'agenzia americana di vigilanza informatica CISA non hanno risposto immediatamente a un messaggio di richiesta di commento.
Cloudflare offre una suite di servizi web e applicativi, tra cui la distribuzione dei contenuti e la protezione della rete. Un'ampia fetta di Internet si affida all'azienda di San Francisco per consegnare i contenuti web agli utenti, per cui qualsiasi interruzione della sua rete può avere gravi ripercussioni. (Relazioni di Raphael Satter, a cura di Bill Berkrot)