Layanan Berbagi File Cloud Jadi Target Pencurian Data Korporasi

Platform berbagi file berbasis cloud dilaporkan menjadi sasaran utama serangan pencurian data korporasi berskala besar. Seorang pelaku ancaman yang dikenal dengan nama Zestix disebut menawarkan data internal perusahaan dari puluhan organisasi setelah diduga membobol layanan berbagi file seperti ShareFile, Nextcloud, dan OwnCloud.

Berdasarkan laporan perusahaan intelijen kejahatan siber Hudson Rock, akses awal ke sistem korban kemungkinan diperoleh melalui kredensial karyawan yang dicuri oleh malware pencuri informasi. Malware jenis ini kerap menginfeksi perangkat karyawan dan mengumpulkan data sensitif, termasuk kredensial login yang kemudian disalahgunakan untuk masuk ke layanan cloud perusahaan.

Malware pencuri informasi yang disebut terlibat umumnya disebarkan melalui kampanye iklan berbahaya dan teknik rekayasa sosial. Ancaman ini menargetkan data yang tersimpan di peramban web, aplikasi pesan, hingga dompet kripto. Ketika kredensial yang valid jatuh ke tangan pelaku dan perlindungan autentikasi multi-faktor tidak diterapkan, akses tidak sah ke layanan berbagi file menjadi sangat mudah.

Hudson Rock menyoroti bahwa sebagian kredensial yang disalahgunakan telah beredar di basis data kriminal selama bertahun-tahun. Temuan ini mengindikasikan kegagalan organisasi dalam melakukan rotasi kata sandi atau menonaktifkan sesi aktif dalam jangka waktu lama, sehingga memperbesar risiko kompromi berkelanjutan.

Dalam analisisnya, Hudson Rock menyebut Zestix beroperasi sebagai initial access broker, yakni pihak yang menjual akses awal ke sistem perusahaan di forum bawah tanah. Akses yang ditawarkan mencakup platform cloud bernilai tinggi yang digunakan oleh organisasi di berbagai sektor strategis, mulai dari penerbangan, pertahanan, kesehatan, utilitas, transportasi massal, telekomunikasi, hingga pemerintahan.

Modus operandi yang diidentifikasi melibatkan pemindaian data hasil infeksi malware untuk menemukan URL layanan cloud perusahaan. Dengan kredensial yang valid dan tanpa pengamanan tambahan, pelaku kemudian masuk ke sistem dan mengekstraksi data dalam jumlah besar. Dalam setidaknya 15 kasus yang dianalisis, Hudson Rock menemukan bukti bahwa kredensial karyawan untuk layanan berbagi file cloud dikumpulkan melalui malware pencuri informasi.

Perlu dicatat bahwa verifikasi ini dilakukan secara sepihak oleh peneliti, dan hingga kini belum ada konfirmasi publik dari sebagian besar perusahaan yang disebutkan. Salah satu pengecualian yang mungkin adalah pengungkapan insiden oleh sebuah maskapai, meski keterkaitannya dengan temuan ini belum dapat dipastikan.

Data yang ditawarkan untuk dijual oleh Zestix dilaporkan memiliki ukuran mulai dari puluhan gigabita hingga beberapa terabita. Klaim isi data mencakup dokumen teknis pesawat, berkas pertahanan dan rekayasa, basis data pelanggan, catatan kesehatan, skema transportasi massal, peta utilitas, konfigurasi jaringan ISP, data proyek satelit, kode sumber sistem ERP, kontrak pemerintah, hingga dokumen hukum.

Eksposur data semacam ini berpotensi menimbulkan risiko serius, mulai dari pelanggaran privasi, kerugian bisnis, hingga spionase industri. Khusus untuk kontrak pemerintah dan data strategis, dampaknya bahkan dapat menyentuh aspek keamanan nasional.

Hudson Rock juga mengungkap adanya kelompok korban tambahan yang dipasarkan dengan alias berbeda, meskipun temuan tersebut belum diverifikasi secara mendalam. Menurut para peneliti, kasus ini mencerminkan masalah sistemik yang lebih luas, yakni lemahnya praktik keamanan dasar di banyak organisasi.

Dalam konteks yang lebih luas, Hudson Rock mengaku telah mengidentifikasi ribuan komputer terinfeksi di berbagai perusahaan besar lintas industri. Temuan ini memperkuat indikasi bahwa paparan data cloud bukan insiden terisolasi, melainkan konsekuensi dari kurangnya pengamanan kredensial dan perlindungan akses yang memadai.

Sebagai tindak lanjut, Hudson Rock menyatakan telah memberi tahu penyedia layanan terkait dan akan melanjutkan pemberitahuan kepada pihak lain yang terdampak agar langkah mitigasi dapat segera dilakukan. Insiden ini kembali menegaskan pentingnya penerapan autentikasi multi-faktor, rotasi kredensial rutin, serta pemantauan aktif terhadap potensi kebocoran akses di lingkungan cloud perusahaan.