Platform berbagi berkas ownCloud mengeluarkan peringatan keamanan kepada penggunanya untuk segera mengaktifkan multi-factor authentication (MFA). Langkah ini dinilai krusial guna mencegah pelaku kejahatan siber memanfaatkan kredensial yang telah dicuri untuk mengakses dan mencuri data pengguna.
ownCloud saat ini digunakan oleh lebih dari 200 juta pengguna di seluruh dunia, termasuk ratusan organisasi besar dari sektor perusahaan dan publik. Di antaranya adalah European Organization for Nuclear Research, European Commission, perusahaan teknologi Jerman ZF Group, perusahaan asuransi Swiss Life, serta European Investment Bank.
Dalam advisory keamanan yang dipublikasikan, ownCloud menanggapi laporan dari perusahaan keamanan siber asal Israel, Hudson Rock, yang mengungkap bahwa sejumlah organisasi mengalami pembobolan pada platform berbagi berkas yang di-host sendiri. Beberapa insiden tersebut dilaporkan melibatkan instance ownCloud Community Edition.
ownCloud menegaskan bahwa platform mereka tidak mengalami peretasan langsung maupun kebocoran akibat celah keamanan internal. Menurut perusahaan, laporan Hudson Rock secara eksplisit menyatakan tidak ada eksploit zero-day atau kerentanan pada platform ownCloud yang digunakan dalam insiden tersebut. Serangan terjadi melalui rantai serangan berbeda, di mana pelaku memperoleh kredensial pengguna dari perangkat karyawan yang telah terinfeksi malware pencuri informasi.
Malware jenis infostealer seperti RedLine, Lumma, dan Vidar disebut digunakan untuk mencuri nama pengguna dan kata sandi dari perangkat korban. Kredensial tersebut kemudian dimanfaatkan untuk masuk ke akun ownCloud yang tidak dilindungi oleh MFA, sehingga penyerang dapat mengakses data tanpa hambatan tambahan.
Menanggapi temuan ini, ownCloud merekomendasikan pengguna untuk segera mengaktifkan MFA pada seluruh instance ownCloud guna melindungi data dari serangan serupa di masa mendatang. Dengan MFA, akses tidak sah tetap dapat dicegah meskipun kredensial utama telah jatuh ke tangan penyerang.
Selain mengaktifkan MFA, ownCloud juga menyarankan agar seluruh kata sandi pengguna direset, semua sesi aktif dibatalkan untuk memaksa autentikasi ulang, serta log akses ditinjau secara menyeluruh guna mendeteksi aktivitas login yang mencurigakan.
Peringatan ini muncul di tengah laporan aktivitas pelaku ancaman yang dikenal dengan nama Zestix, yang menawarkan penjualan data perusahaan hasil curian dari puluhan organisasi. Data tersebut diduga diperoleh setelah penyerang berhasil menembus platform berbagi berkas seperti ShareFile, Nextcloud, dan ownCloud menggunakan kredensial yang telah dicuri.
Dalam laporan terpisah tertanggal 5 Januari, Hudson Rock mengungkap bahwa akses awal ke server berbagi berkas perusahaan kemungkinan besar diperoleh melalui kredensial hasil infeksi infostealer malware. Perusahaan intelijen siber tersebut mengidentifikasi ribuan komputer yang terinfeksi, termasuk perangkat yang terhubung ke jaringan organisasi besar seperti Deloitte, KPMG, Samsung, Honeywell, Walmart, serta Centers for Disease Control and Prevention.
Insiden ini kembali menegaskan bahwa perlindungan akun berbasis MFA bukan lagi opsi tambahan, melainkan kebutuhan mendesak, terutama bagi organisasi yang mengelola data sensitif melalui platform berbagi berkas yang diakses secara daring.