A plataforma de compartilhamento de arquivos ownCloud alertou hoje seus usuários para ativarem a autenticação multifator (MFA) como medida essencial para impedir que invasores, usando credenciais comprometidas, roubem dados.
Com mais de 200 milhões de usuários no mundo, o ownCloud atende centenas de organizações grandes dos setores público e privado, incluindo instituições renomadas como o CERN (Organização Europeia para Pesquisa Nuclear), a Comissão Europeia, o grupo alemão de tecnologia ZF, a seguradora Swiss Life e o Banco Europeu de Investimento.
Em comunicado de segurança divulgado hoje, a empresa reforçou a recomendação de ativar a MFA, após relatório recente da empresa israelense de cibersegurança Hudson Rock.
O estudo apontou que diversas organizações tiveram suas plataformas de compartilhamento de arquivos auto-hospedadas — incluindo algumas instâncias do ownCloud Community Edition — invadidas por meio de ataques que exploraram o roubo de credenciais.
“A plataforma ownCloud não foi hackeada nem apresentou qualquer vulnerabilidade zero-day ou falha própria”, esclareceu a empresa.
“As invasões ocorreram por outra via: agentes maliciosos capturaram credenciais de usuários por meio de malwares do tipo infostealer, como RedLine, Lumma e Vidar, instalados nos dispositivos de colaboradores.
Com essas credenciais, os invasores acessaram contas ownCloud sem autenticação multifator ativada.”
Para se proteger contra novos ataques e impedir acessos não autorizados, mesmo que as credenciais sejam vazadas, o ownCloud recomenda ativar a MFA imediatamente em todas as instâncias da plataforma.
Além disso, sugere que os administradores redefinam todas as senhas de usuários, invalidem as sessões ativas para forçar novo login e revisem os registros de acesso em busca de atividades suspeitas.
O alerta surge após uma ameaça identificada como “Zestix” oferecer à venda dados corporativos roubados de dezenas de empresas, aparentemente obtidos após invasões em servidores ShareFile, Nextcloud e ownCloud.
No relatório de 5 de janeiro, a Hudson Rock destaca que os criminosos provavelmente tiveram acesso inicial aos servidores usando credenciais capturadas por malwares infostealers, como RedLine, Lumma e Vidar, que infectaram dispositivos de funcionários.
A empresa de inteligência em cibercrime identificou milhares de máquinas comprometidas, incluindo computadores em redes de organizações de destaque como Deloitte, KPMG, Samsung, Honeywell, Walmart e o CDC dos Estados Unidos (Centers for Disease Control and Prevention).
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...