Situs Berbagi File Cloud Dibobol, Data Perusahaan Dijual Hacker

Platform berbagi file berbasis cloud kembali menjadi sasaran empuk kejahatan siber. Kali ini, seorang pelaku yang dikenal dengan nama Zestix dilaporkan menawarkan penjualan data perusahaan hasil curian dari puluhan organisasi di berbagai sektor industri. Data tersebut diduga diperoleh setelah penyerang berhasil membobol layanan berbagi file populer seperti ShareFile, Nextcloud, dan OwnCloud, yang banyak digunakan perusahaan untuk menyimpan serta berbagi dokumen internal.

Informasi ini diungkap oleh perusahaan intelijen keamanan siber Hudson Rock, yang telah melakukan analisis mendalam terhadap aktivitas pelaku di forum-forum kejahatan bawah tanah. Menurut Hudson Rock, akses awal ke sistem perusahaan kemungkinan besar diperoleh melalui kredensial karyawan berupa username dan password yang dicuri menggunakan malware pencuri informasi (infostealer).

Beberapa jenis malware yang diduga digunakan dalam aksi ini antara lain RedLine, Lumma, dan Vidar. Malware tersebut biasanya menginfeksi perangkat milik karyawan tanpa disadari, lalu diam-diam mengumpulkan data sensitif. Informasi yang dicuri tidak hanya terbatas pada kredensial login, tetapi juga data kartu kredit, informasi pribadi, riwayat browser, data aplikasi perpesanan, hingga dompet aset kripto.

Hudson Rock menjelaskan bahwa infostealer ini umumnya disebarkan melalui iklan berbahaya (malvertising) atau metode ClickFix, yaitu teknik manipulasi yang memancing korban untuk menjalankan perintah berbahaya dengan dalih memperbaiki masalah tertentu. Begitu malware aktif di perangkat korban, data sensitif langsung dikirim ke server milik penyerang.

Masalah semakin serius ketika perusahaan tidak menerapkan autentikasi multi-faktor (Multi-Factor Authentication/MFA). Dengan hanya bermodalkan username dan password yang valid, penyerang dapat masuk ke layanan cloud perusahaan tanpa hambatan berarti. Inilah celah utama yang dimanfaatkan oleh Zestix untuk mengakses platform berbagi file dan menyalin data dalam jumlah besar.

Dalam laporan terbarunya, Hudson Rock mengungkap temuan yang cukup mengkhawatirkan. Beberapa kredensial yang digunakan penyerang ternyata telah beredar di basis data kriminal selama bertahun-tahun. Hal ini mengindikasikan lemahnya praktik keamanan siber di sejumlah organisasi, khususnya dalam hal penggantian kata sandi secara berkala dan penonaktifan sesi login lama yang seharusnya sudah tidak digunakan.

 
Berperan sebagai Penjual Akses Awal

Hudson Rock menyebut Zestix beroperasi sebagai initial access broker (IAB), yaitu pihak yang menjual akses awal ke sistem perusahaan kepada kelompok peretas lain. Model bisnis ini semakin marak di dunia kejahatan siber karena memungkinkan penyerang memperoleh keuntungan tanpa harus melakukan serangan lanjutan sendiri.

Berdasarkan analisis mereka, target Zestix berasal dari berbagai sektor strategis, mulai dari penerbangan, pertahanan, kesehatan, utilitas, transportasi massal, telekomunikasi, hukum, properti, hingga instansi pemerintahan. Banyak dari organisasi tersebut mengandalkan ShareFile, Nextcloud, atau OwnCloud sebagai sarana utama pertukaran dokumen internal.

Dengan memeriksa log infostealer dan secara khusus mencari alamat URL layanan cloud perusahaan, pelaku kemudian mencoba login menggunakan kredensial yang dicuri. Jika sistem tidak dilindungi MFA, akses pun langsung terbuka. Hudson Rock mengaku berhasil mengidentifikasi titik kebocoran data dengan menghubungkan data infostealer di platform mereka dengan gambar publik, metadata, serta informasi sumber terbuka.

Dalam setidaknya 15 kasus, Hudson Rock menemukan bukti kuat bahwa kredensial karyawan untuk layanan berbagi file cloud telah dicuri melalui infostealer. Meski demikian, perusahaan keamanan siber tersebut menegaskan bahwa temuan ini masih bersifat verifikasi sepihak. Hingga kini, belum ada konfirmasi resmi dari sebagian besar perusahaan yang disebutkan terkait adanya pelanggaran keamanan.

Salah satu perusahaan yang disebut berpotensi terkait adalah Iberia, meskipun pengungkapan insiden keamanan terbarunya belum tentu memiliki hubungan langsung dengan temuan Hudson Rock.

 
Risiko Serius bagi Keamanan dan Privasi

Zestix dikabarkan menawarkan data curian dengan ukuran yang sangat besar, mulai dari puluhan gigabyte hingga beberapa terabyte. Data tersebut diklaim mencakup berbagai dokumen sensitif, seperti manual perawatan pesawat dan data armada, dokumen pertahanan dan teknik, basis data pelanggan, catatan kesehatan, skema transportasi massal, peta LiDAR utilitas, konfigurasi jaringan ISP, data proyek satelit, kode sumber ERP, kontrak pemerintah, hingga dokumen hukum.

Kebocoran data dalam skala ini berpotensi menimbulkan risiko besar, mulai dari pelanggaran privasi, kerugian finansial, hingga spionase industri. Khusus untuk data yang berkaitan dengan kontrak dan proyek pemerintah, dampaknya bahkan dapat menyentuh ranah keamanan nasional.

Hudson Rock juga mengungkap adanya sekitar 30 korban tambahan yang dijual Zestix dengan nama samaran “Sentap”, meskipun data tersebut belum diverifikasi menggunakan metode yang sama.

Para peneliti menegaskan bahwa kasus ini bukanlah insiden tunggal. Berdasarkan data intelijen ancaman yang mereka miliki, paparan keamanan cloud merupakan masalah sistemik yang masih banyak terjadi akibat lemahnya penerapan praktik keamanan dasar oleh organisasi.

Hudson Rock mengklaim telah mengidentifikasi ribuan komputer yang terinfeksi malware, termasuk di lingkungan perusahaan besar seperti Deloitte, KPMG, Samsung, Honeywell, dan Walmart. Sebagai langkah awal mitigasi, Hudson Rock menyatakan telah memberi tahu ShareFile, serta akan menghubungi Nextcloud dan OwnCloud, agar pihak terkait dapat mengambil langkah pengamanan yang diperlukan.

Kasus ini kembali menjadi pengingat penting bagi perusahaan untuk memperkuat keamanan siber, khususnya dengan menerapkan MFA, rutin mengganti kata sandi, serta meningkatkan kesadaran karyawan terhadap ancaman malware yang semakin canggih.