Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Dringend MFA aktivieren: Massenhaft Daten aus Cloud-Instanzen abgeflossen

Betroffen sind self-hosted Instanzen von Owncloud , Nextcloud und Sharefile. Daten von 50 Organisationen stehen zum Verkauf, weil die MFA nicht aktiv war.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Daten aus zahlreichen selbst gehosteten Cloud-Instanzen landen im Darknet. (Bild: pixabay.com / stux)
Daten aus zahlreichen selbst gehosteten Cloud-Instanzen landen im Darknet. Bild: pixabay.com / stux

Der Anbieter der Cloudplattform Owncloud hat eine Warnung vor laufenden Angriffen herausgegeben(öffnet im neuen Fenster) , bei denen Daten aus mehreren selbst gehosteten Owncloud-Instanzen erbeutet wurden. Beobachtet wurden die Attacken von Sicherheitsforschern von Hudson Rock. Der Angreifer bediente sich laut Warnmeldung allerdings keiner Sicherheitslücke in Owncloud , sondern nutzte lediglich gültige Passwörter.

Den Angaben zufolge basiert die Angriffswelle auf erfolgreichen Infostealer-Infektionen. Durch Malware-Varianten wie Redline, Lumma und Vidar konnte der Angreifer Zugangsdaten von Mitarbeitern verschiedener Organisationen abgreifen, um anschließend auf deren Filesharing- und Cloudsysteme zuzugreifen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)
(Wirtschafts-)Informatikerin bzw. (Wirtschafts-)Informatiker oder (Wirtschafts-)Mathematikerin bzw. (Wirtschafts-)Mathematiker (w/m/d) Bundeskartellamt, Bonn (öffnet im neuen Fenster)
System- und Netzwerkadministrator (m/w/d) Kommunaler Versorgungsverband Baden-Württemberg, (öffnet im neuen Fenster)
Expert IT Betrieb & Administration Lagerbetrieb Hensoldt, Wolfhagen (öffnet im neuen Fenster)
ERP Softwareentwickler m/w/d Krannich Group GmbH, Weil der Stadt (öffnet im neuen Fenster)
Systemadministrator (m/w/d) - Schwerpunkt Netzwerk Berlin Recycling GmbH, Berlin (öffnet im neuen Fenster)
System Engineer Radar (f/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
Releasemanager (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)

Die Anmeldung mit diesen Zugangsdaten war jedoch in den beobachteten Fällen nur möglich, weil es bei den betroffenen Konten keinerlei Multi-Faktor-Authentifizierung (MFA) gab. Der Angreifer brauchte also für die Anmeldung nichts weiter als von der jeweiligen Infostealer-Malware erbeutete Nutzernamen und Passwörter. Anschließend konnte er massenhaft Daten ausleiten.

Auch Nextcloud und Sharefile betroffen

Owncloud drängt vor diesem Hintergrund darauf, auf sämtlichen Instanzen unverzüglich die Multi-Faktor-Authentifizierung zu aktivieren. Zudem sollten Administratoren auf die Durchsetzung starker Passwörter achten, Zugriffsprotokolle auf verdächtige Aktivitäten untersuchen und sämtliche aktive Sitzungen trennen, so dass alle Nutzer sich mit aktiver MFA neu authentifizieren müssen.

Weitere Details zu den beobachteten Attacken sind in einem Bericht von Hudson Rock(öffnet im neuen Fenster) zu finden. Der Angreifer tritt demnach online unter den Pseudonymen Zestix und Sentap auf und soll Daten von etwa 50 großen Organisationen aus verschiedenen Branchen erbeutet haben. Auch Zugänge für Sharefile- und Nextcloud-Instanzen wurden für den umfangreichen Datendiebstahl missbraucht.

Eine Liste der betroffenen Organisationen ist am Ende des Berichts der Hudson-Rock-Forscher zu finden – inklusive der jeweils erbeuteten Datenmenge sowie Angaben zur Art der abgeflossenen Daten. Zestix bietet die Datensätze wohl im Darknet zum Verkauf an.

Zur Startseite Kommentare

Relevante Themen

Cloud-DiensteSoftwareSecurityCybercrimeDatensicherheitDatenleckFilesharingOwncloudPasswort