Cloudflares blinda fläck när det gäller missbruk: när storlek väger tyngre än säkerhet

Michael Duffy

31 juli 2025 Träffar: 190

Cloudflare står bakom var femte webbplats och lovar hastighet och säkerhet. Men samma infrastruktur döljer nu en industriell phishing-ekonomi. Under sex (6) månader analyserade vi mer än +600 falska domäner för tiquetesbaratos.com – flera av dem hostade på pages.dev eller workers.dev tillsammans med andra bedrägeridomäner som utnyttjar Cloudflares reverse-proxy DNS-tjänster. Anmälningar om missbruk möttes med samma kopierade avslag: “Kan inte bekräfta phishing.” Den här artikeln undersöker varför Cloudflares processer brister, hur denna brist göder kriminella och vad lagstiftare måste göra härnäst.

Den här artikeln är en uppföljning till vårt bloggartikel från juli 2025, “Hur Cloudflare gynnar och understöder cyberkriminella genom sitt imperium av reversa proxyservrar och DNS-tjänster.”

Exekutiv Sammanfattning

Explosiv ökning av missbruk. Cloudflares domäner för utvecklare slog nya rekord 2024: incidenter på pages.dev ökade med 198 % (460 → 1 370) och workers.dev med 104 % (2 447 → 4 999). Totalt antal phishing kampanjer ligger i takt att överstiga 1 600 under 2025.
Systematiskt missbruk. Flera säkerhetsleverantörer (Fortra, Trustwave, CloudSEK) och oberoende analytiker visar på omfattande brott mot varumärken och insamling av användar- och lösenordsdata i stor skala på Cloudflares infrastruktur.
Processerna har kört fast. Trots tusentals anmälningar - inklusive från betrodda rapportörer - svarar Cloudflares abuse-desk med standardiserade avslag och lägger bevisbördan på rapportörerna.
Rättslig kollisionskurs. NIS2, dess nationella införlivanden och och lagen om digitala tjänster (DSA) ålägger strikta krav på “online-plattformar”, CDN:er, DNS- och reverse-proxy-leverantörer. Cloudflares nuvarande praxis är inte förenlig och skapar väsentligt ansvar för EU-kunder.
Åtgärdspunkter. Tillsynsmyndigheter måste klargöra CDN-ansvar; företag bör blockera pages.dev / workers.dev som standard; incident rapportörer bör arbeta för erhålla "betrodd" status för rapportering; och upphandlingsteam måste ompröva Cloudflare mot NIS2-krav på leveranskedjan.

Missbruksrapportering som inte leder någonstans

Nedan följer ett ordagrant utdrag ur Cloudflares svar på en av våra senaste abuse rapporter för phishing, riktad mot en resebyrådomän som utger sig för att vara tiquetesbaratos.com:

Date: 31 juli 2025

Från: abuse@cloudflare.com

Ämne: Re: [Cloudflare Abuse] tiquetesbaratoscos[.]pages[.]dev

Hej, Cloudflare har mottagit din phishinganmälan gällande: tiquetesbaratoscos[.]pages[.]dev

Vi kan inte behandla din anmälan av följande skäl: Vi kunde inte bekräfta phishing på den/de angivna URL:erna.

Observera att Cloudflare erbjuder nätverkstjänster inklusive genomströmningsbaserade säkerhetstjänster, ett content distribution network (CDN) och registrartjänster. På grund av våra tjänsters genomströmningskaraktär visas våra IP-adresser i WHOIS- och DNS-poster för webbplatser som använder Cloudflare. Cloudflare kan inte ta bort material från Internet som hostas av andra.

Svaret är identiskt med dussintals svar vi har fått bara under 2025, oavsett det bevismaterial som bifogats (live-skärmdumpar, inspelningar, loggar, hashvärden för script som stjäl inloggningsuppgifter).

En friktionsfri produktionsplattform för phishing

Indikator	2023	2024	% Δ
Phishing incidenter på pages.dev	460	1 370	+198 %
Phishing incidenter på workers.dev	2 447	4 999	+104 %

Källa: Fortra SEA, dec 2024

Dessa siffror är försiktiga. Vår egen telemetri visar att skadliga Cloudflare-hostade subdomäner som utger sig för att vara domäner som tillhör välkända varumärken förekommer i mycket större omfattning.

Ytterligare fynd från tredje part:

Trustwave SpiderLabs uppmärksammade “ett enormt antal phishing- och bluff-sidor som missbrukar Cloudflares tjänster på pages.dev.”
CloudSEK beskrev ett generiskt phishing-kit hostat på workers.dev som kan imitera vilket varumärke som helst på begäran/beställning.
En Reddit-tråd med >600 röster, skildrar en rapportörs frustration efter att ha rapporterat 200+ skadliga pages.dev-sajter – där <30 % aldrig togs ned.

Varför Cloudflares process misslyckas för betrodda rapportörer

Rapportering endast via web formulär – Rapportering genom e-post får ett automatiskt svar som hänvisar rapportören till webbformuläret. Massincidenter kan inte skickas in effektivt.
Höga beviskrav – Rapportören måste bevisa att phishing är aktivt vid granskningstillfället, utan hänsyn till att phishing kampanjer ofta pågår under korta perioder.
Otydliga resultat – Cloudflare avslöjar sällan om någon åtgärd har vidtagits, med hänvisning till integritet och kundsekretess.
Ingen möjlighet till överklagan eller eskalering – Det finns inget SLA för missbruk med hög risk och ingen policy för betrdda rapportörer enligt DSA.

Följ pengarna!

Cloudflares prissättning för utvecklare är välkänd för att vara generös – pages.dev är gratis och Workers-abonnemang kostar från 5 USD/månad. Varje ny webbplats ökar Cloudflares datatrafik, TLS- och edge-compute-volymer, vilket innebär:

Högre potential för merförsäljning av premiumtjänster.
Bättre trafikstatistik för investerarrapporter.
Mer telemetri som kan användas i maskininlärningsfunktioner som marknadsförs som anti-phishing-lösningar.

Resultat: Modereringskostnader hotar marginalerna; automatisering och förnekelse är billigare.

Den juridiska aspekten: DSA, NIS2 och nationella cybersäkerhetslagar

Digital Services Act (DSA)

I kraft sedan 17 feb 2024. Kräver att “online-plattformar” agerar på välgrundande anmälningar utan onödigt dröjsmål.
Sanktionsavgifter upp till 6 % av den globala omsättningen för systematisk bristande efterlevnad. Cloudflare är ännu inte formellt utsedd till VLOP, men dess användarbas överstiger lätt tröskeln på 45 miljoner aktiva användare per månad.

NIS2-direktivet (EU 2022/2555) och nationella införlivanden

Deadline för införlivande: 17 okt 2024; i mitten av 2025 hade mindre än en tredjedel av medlemsstaterna meddelat fullständigt införlivande. Den 7 maj 2025 utfärdade Europeiska kommissionen motiverade yttranden till 19 eftersläntrare – inklusive DE, FR, NL, SE och DK – för att de inte infört NIS2.
Utökat tillämpningsområde: NIS2 omfattar nu uttryckligen “DNS-tjänsteleverantörer, TLD-register, moln- och datatjänsteleverantörer” – alla roller som Cloudflare utför när man hanterar trafik.
Väsentliga kontra viktiga entiteter: Stora CDN:er kommer att klassificeras som väsentliga (§3(1)(l)) och omfattas av förhandsövervakning och strängare påföljder (sanktioner) – upp till 10 miljoner € eller 2 % av den global omsättning.
Säkerhet i leverantörskedjan: (artikel 21). EU-organisationer måste bedöma och minska risker som uppstår från leverantörer av IKT-tjänster. Att fortsätta förlita sig på en leverantör med känt missbruk och svaga rutiner för borttagning kan anses vara icke-överenstämmande riskhantering.
Incidentrapportering (artikel 23): Leverantörer måste utan onödigt dröjsmål anmäla betydande incidenter. En plattform där phishing förekommer oupptäckt i veckor eller månader riskerar att bryta mot denna skyldighet.
Tillsynsmyndigheters verkställighet: Nationella CSIRT:er och tillsynsmyndigheter (BSI-DE, ANSSI-FR, NCSC-NL, MSB-SE) får befogenhet att granska, bötfälla eller beordra avstängning av tjänster som inte uppfyller kraven, inklusive order till EU-kunder att upphöra med användningen.

Landsspecifika förstärkande åtgärder

Tyskland (IT-SiG 2.0) lägger till böter upp till 20 M € och ger BSI befogenhet att utse “kritiska komponenter”.
Frankrike (LPM) & RGPD-SSI kräver att hostinginfrastruktur för kritiska sektorer ska vara SecNumCloud-certifierad – Cloudflare är det inte.
Italiens D.Lgs. 65/2024 föreskriver att offentliga organ måste använda leverantörer som är registrerade i det nationella "moln" registret.
Sverige (utkast till cybersäkerhetslag) genomför NIS2; föreslagen ikraftträdande 15 jan 2026. Tillsynsmyndigheter (utses genom förordning) får revisions- och sanktionsbefogenheter, medan MSB förblir kontaktpunkt och nationell koordinator.

Slutsats: Under NIS2 och dess nationella avtryck är valet av CDN/ DNS/ reverse-proxy-leverantör inte längre ett rent tekniskt beslut – det är ett reglerat beslut om leveranskedjan med ansvar på styrelse/ledningsnivå.

Så svarar ansvarstagande leverantörer

Leverantör	Accepterade bevisformat	Typisk nedtagningstid	Abuse-kanal
Namecheap	Skärmdumpar, URL-lista, e-post	<12 h för bekräftad phishing	abuse@namecheap.com
PDR	Kort bakgrund, URL, skärmdumpar	<48 h	abuse@publicdomainregistry.com + webbformulär
OVH Cloud	CSV-bulk, PCAP:er	24-48 h	webbformulär + ärende
Hostinger	URL-lista, e-post	<12 h	abuse@hostinger.com + webbformulär
nameSILO	URL-lista, e-post	<6-12 h	abuse@namesilo.com + webbformulär

Så svarar icke-ansvarstagande leverantörer

Leverantör	Accepterade bevisformat	Typisk nedtagningstid	Abuse-kanal
Cloudflare	Måste reproducera live phishing via webbformulär	Dagar – veckor – månader (om alls)	endast webbformulär, annan kommunikation avvisas med automatiska mallar.

Rekommendationer

För tillsynsmyndigheter

Klargör att CDN:er och reverse proxies är hostingleverantörer enligt DSA och NIS2 när de terminerar TLS och proxyinnehåll.
Utnyttja NIS2-tillämpningen. Använd inspektioner, böter och avstängningsorder vid ihållande bristande efterlevnad.
Kräv ett snabbspår för betrodda rapportörer med 24-timmars SLA och publicera revisionsloggar för hanterng av missbruk.

För företag & SOC

Omvärdera CDN-leverantörer under riskgranskning/bedömning av leverantörer 2025; kräv skriftliga bevis på NIS2-efterlevnad och statistik på hantering av missbruksrapporter.
Blockera eller "sandboxa" länkar som slutar på pages.dev och workers.dev tills de har verifierats som säkra.
Skicka nya Cloudflare-subdomäner till en "sink-hole" som spoofar ditt varumärke via DNS-filtrering.
Uppdatera manualer för incidenthantering så att de inkluderar NIS2-krav för leverantörskedjan: dokumentera due diligence, bevara bevis på missbruk och byt CDN leverantör snabbt vid behov.

För Cloudflare

Publicera missbruksstatistik i realtid per tjänstenivå.
Acceptera bulk-inskick i CSV/JSON och tillhandahåll API-nycklar till verifierade rapportörer.
Anta en policy om att först inaktivera och sedan överklaga för mycket kortvariga phishing-kampanjer.
Dokumentera offentlig alla åtgärder för efterlevnad av NIS2 – eller förlora EU-företag som kunder.

Slutsats

Cloudflares vision om att “bygga ett bättre Internet” klingar ihåligt så länge deras infrastruktur fungerar som en färdig phising-plattform.Enligt NIS2 är varje ignorerad rapport inte längre bara ett problem för användarupplevelsen - det är en potentiell överträdelse av reglerna som kan leda till böter längs hela leverantörskedjan. Företag och organisationer som fortsätter att delegera kritisk trafik till Cloudflares infrastruktur utan att kräva transparenta, granskade processer för missbruk, står nu inför en dubbel risk: komprometterade inloggningsuppgifter och sanktionsavgifter för bristande efterlevnad.

Det är dags att agera nu – innan de första NIS2-sanktionsärendena hamnar på förstasidorna.

Michael Duffy

CEO, Excedo Networks AB

Michael Duffy är CEO & CISO för Excedo Networks och har arbetat inom IT- och cybersäkerhetsbranschen i mer än 30 år. Michael är en av de främsta experterna inom sitt område och hans mål är att göra internet till en säkrare plats för privatpersoner och företag. Genom Excedo har han arbetat med stora svenska myndigheter för att säkerställa att de är fullt skyddade i den ständigt föränderliga världen av cyberattacker.

Företagsadress

Jan Stenbecks torg 17 
164 40 KISTA
 SVERIGE