Den här artikeln granskar Cloudflares tjänster ur ett dubbelanvändningsperspektiv, analyserar offentlig bevisföring och föreslår konkreta policyförändringar som kan minska systematisk missbruk utan att äventyra legitima kunders användning.
En säkerhetsjätte med en mörk baksida
Cloudflare accelererar trafik och skyddar mot DDoS-attacker för miljontals domäner. Samtidigt skyddas nätfiske-kit, skadeprogram, hatforum och spegelsidor på darknet av samma infrastruktur. Kritiker menar att Cloudflares policy om infrastrukturneutralitet – i kombination med minimal verifiering vid registrering – skapar en gynnsam miljö för cyberkriminell verksamhet.
Det "oranga molnets" förklädnad
När en DNS-post proxas (Cloudflare) svarar man med sina egna anycast-IP-adresser och döljer serverns verkliga plats. Utan en ursprungs-IP blir det svårt för försvarare att spåra, blockera geografiskt eller genomföra snabba avstängningar – vilket är just varför hotaktörer föredrar Cloudflare.
Nätfiskefabriker på Pages & Workers
Kostnadsfria utvecklarytor som “pages.dev” och “workers.dev” främjar snabb CI/CD för startups – men också för kriminella. Enligt Fortras portal för misstänkta e-postmeddelanden utnyttjades Cloudflare Workers i 4 999 nätfiskeincidenter under 2024, en ökning med 104 % jämfört med året innan, med prognos på nästan 6 000 till december 2025 (Fortra, okt 2024). Fortra rapporterade också en 198 % ökning av nätfiskesidor på Pages (från 460 till 1 370 incidenter).
I Interisle Consultings rapport “Cybercrime Supply-Chain Report 2024” listas åtta stora leverantörer av underdomäner – däribland Cloudflare – som står för merparten av nätfiske via underdomäner. De fyra största står för över 60 % av denna typ av missbruk.
Tunnlar som smugglar RATs och stealer-program
“TryCloudflare”-tunnlar tillåter vem som helst att skapa en tillfällig utgående anslutning från en privat maskin till Cloudflares edge. Hotrapporter från Proofpoint, eSentire och Securonix dokumenterar hur kampanjer med AsyncRAT, Remcos och XWorm använder dessa tillfälliga endpoints för att undvika blocklistor och försvåra forensiska analyser.
Missbruksrapportering som röjer rapportören
När forskare rapporterar varumärkesintrång, nätfiske eller skadeprogram via “abuse.cloudflare.com” vidarebefordrar Cloudflare hela anmälan – inklusive avsändarens namn, e-post och telefonnummer – till både webbhotellet och sajtägaren, som standard vid varumärkesrapporter. I formuläret finns en förmarkerad och ej avmarknadsbar kryssruta: “Inkludera mitt namn och kontaktinformation i rapporten.” Detta ger cyberkriminella förvarning och möjliggör infrastrukturflytt eller loggrensning innan någon nedstängning hinner ske – vilket i praktiken vapeniserar rapportörens identitet.
Omvänd proxy som reputationstvätt
Cloudflares omvända proxy har länge fungerat som sista hoppunkten för kontroversiella eller olagliga webbplatser. Den nynazistiska sajten “Daily Stormer” förlorade sitt Cloudflare-skydd först efter ett ensidigt beslut i augusti 2017, medan forumet “Kiwi Farms” stängdes av i september 2022 efter att livshotande faror mot individer dokumenterats. I normala fall agerar Cloudflare först efter rättsliga beslut, vilket skapar tidsluckor som brottslingar utnyttjar.
Cloudflares försvarstal
Cloudflare menar att dess infrastrukturneutralitet skyddar ett öppet internet och att svepande avstängningar skulle straffa oskyldiga användare. Företaget hänvisar till:
- Ett nytt pipelinesystem (2025) som åtgärdar 78 % av nätfiskerapporter inom en timme (Cloudflare Transparency Report H2 2024).
- “Project Galileo”, som blockerar i genomsnitt 325 miljoner attacker per dag mot utsatta organisationer, journalister och människorättsgrupper (Cloudflare Radar, 2025).
Gynnar Cloudflare brottslighet?
Dilemmat med dubbelanvändning sammanfattas i Tabell 1.
| Mekanism | Legitim säkerhetsfördel | Kriminell fördel |
| Dolda IP-adresser via proxy | Stoppar DDoS mot aktivister | Maskerar nätfiske och C2-servrar |
| Gratisnivå för Pages/Workers | Snabb CI/CD för småföretag | Masshosting av nätfiske-kit utan kostnad |
| Tunneltjänst | Säker fjärråtkomst | Dold staging av skadeprogram |
| Utlämning i rapportformulär | Transparens gentemot webbhotell | Tipsar angripare att agera snabbt |
Tabell 1: Dubbelanvändning i Cloudflares tjänster
Vad kan verkligen förändra läget?
Åtgärder på användarsidan
- Aktivera origin-hardening: begränsa inkommande trafik till Cloudflares IP-adresser och använd autentiserade origin pulls.
- Prenumerera på hotintelligensflöden som kartlägger Cloudflare-proxade domäner till serverlösa subdomäner eller tunnlar.
Förslag till Cloudflare och tillsynsmyndigheter
- Gör utlämning i missbruksrapport "opt-in" som standard.
- Kräv låg tröskel inom KYC (t.ex. SMS-kod) för nya gratisanvändare.
- Begränsa tunnlars livslängd och mimimera masskapande av underdomäner.
- Publicera en öppen dashboard för missbruk med statistik om nedtagningstid och återfallsgrad.
- Erbjud servicekrediter till kunder med ett rent konto; tillämpa sanktioner vid upprepat missbruk.
Slutsats
Cloudflare uppfann inte cyberbrott, men företagets arkitektur och policies bidrar obestridligt till dess fortsatta tillväxt. Så länge missbruksförebyggande åtgärder inte integreras i onboarding – och rapportörers identitet inte skyddas – kommer Cloudflare att fortsätta fungera både som skydd för det goda och som gödsel för det onda. Den återstående frågan är inte om Cloudflare kan agera, utan hur snabbt de är villiga att använda de verktyg de redan har.
