Cloud jacking polega na uzyskaniu nieautoryzowanego dostępu do zasobów w chmurze, zwykle za pomocą przejętego konta osoby posiadającej taki dostęp. Działania atakującego są wówczas rejestrowane tak, jakby wykonywał je autoryzowany użytkownik, dlatego są trudne do wykrycia – systemy nie wskazują anomalii typowych dla prób obejścia zabezpieczeń. W praktyce oznacza to, że atak może trwać długo, a ślady w logach wyglądają jak rutynowa aktywność.

Atak jest szczególnie groźny wtedy, gdy cyberprzestępca uzyska dostęp do konta posiadającego wysoki poziom uprawnień. Ponadto, stanowi zagrożenie dla coraz większej liczby organizacji – według danych Eurostatu w 2023 roku 45,2% wszystkich firm korzystało z usług chmurowych, w tym 77,6% dużych przedsiębiorstw, 59% średnich i 41,7% małych. Gartner wskazuje, że rynek chmury publicznej w 2025 roku urósł o 21,5% w stosunku do roku poprzedniego, a w 2024 roku o 19,2%. Pokazuje to, że coraz więcej organizacji musi zabezpieczać się przed takimi atakami, jak cloud jacking.

Przejęcie zasobów znajdujących się w chmurze to zdarzenie, które może zachwiać stabilnością organizacji i spowodować straty o szerokim zasięgu. Środowisko chmurowe jest bowiem centrum operacyjnym wielu firm – to w nim przechowywane są dokumenty, bazy danych, poufne informacje i narzędzia, bez których codzienna praca byłaby niemożliwa. Z tego powodu aż 77% organizacji wskazuje bezpieczeństwo jako główne wyzwanie związane z korzystaniem z chmury.

Konsekwencje cloud jackingu to m.in.:

• utrata kontroli nad systemami – może doprowadzić do paraliżu procesów operacyjnych,
• kradzież danych – wyciek poufnych informacji prowadzi do strat finansowych, konsekwencji prawnych lub utraty przewagi konkurencyjnej,
• zniszczenie lub modyfikacja zasobów – brak integralności danych może wstrzymać realizację projektów,
• nieautoryzowane wykorzystanie zasobów – dodatkowe obciążenie, wynikające np. z uruchomienia instancji obliczeniowych do kopania kryptowalut, generuje nieprzewidziane koszty,
• utrata reputacji – spadek zaufania klientów i partnerów biznesowych wpływa negatywnie na wyniki i rozwój przedsiębiorstwa,
• utrata ciągłości działania – zablokowanie dostępu do systemów może skutkować przestojem w pracy firmy.

Firma IBM w Cost of Data Breach Report 2025 wskazuje, że średni koszt naruszenia danych przechowywanych w chmurze publicznej wyniósł 4,68 mln dolarów, natomiast w chmurze prywatnej 3,9 mln dolarów. Obrazuje to, jak kosztowne mogą być skutki cloud jackingu dla organizacji.

Do cloud jackingu cyberprzestępcy stosują głównie techniki, które wykorzystują słabości w procesach uwierzytelniania, brak kontroli dostępu i błędy ludzkie.

Phishing

Najsłabszym ogniwem każdego systemu jest człowiek. Za pomocą fałszywych wiadomości e-mail lub stron logowania cyberprzestępcy wyłudzają dane od użytkowników lub infekują ich urządzenia złośliwym oprogramowaniem, które pozwala im uzyskiwać dostęp do zasobów w chmurze.

Przechwytywanie tokenów sesji

Tokeny sesji to tymczasowe klucze umożliwiające użytkownikowi dostęp do usługi bez ponownego logowania. Przechwycenie takiego tokena, np. poprzez podatność w przeglądarce lub niezabezpieczoną sieć Wi-Fi, może spowodować odtworzenie sesji użytkownika i uzyskanie przez hakera pełnego dostępu do chmury.

Niewłaściwie zabezpieczona infrastruktura partnerów w łańcuchu dostaw

Atakujący może zdobyć dostęp do firmowej chmury poprzez niewłaściwie zabezpieczoną infrastrukturę innych podmiotów w łańcuchu dostaw. Może wykorzystać luki po stronie dostawcy – skradzione klucze API, dostęp do CI/CD czy przejęte konto administratora. W efekcie firma może zostać zaatakowana nawet mimo posiadania własnych zabezpieczeń.

Nadużycie uprawnień aplikacji trzecich

Wiele aplikacji SaaS integruje się z kontami firmowymi, prosząc o szeroki zakres dostępu. Pracownicy często zatwierdzają te żądania bez ich analizy. W przypadku, gdy złośliwa aplikacja uzyska dostęp do zasobów w chmurze, może ona być wykorzystana jako kanał do przejęcia danych lub manipulacji systemami.

Wykorzystanie błędnej konfiguracji środowiska chmurowego

Publiczny dostęp do zasobów, brak kontroli dostępu, otwarte porty czy brak ograniczeń IP sprawiają, że atakujący może uzyskać dostęp do systemów bez żadnych poświadczeń. Cyberprzestępcy nie celują w luki wynikające z błędów technicznych, ale takie, których przyczyną jest błędna konfiguracja.

Skuteczna ochrona przed cloud hijackingiem wymaga połączenia rozwiązań technicznych, polityki bezpieczeństwa i edukacji pracowników. Atak ten wymierzony jest zwykle w konta użytkowników, dlatego też jedną z podstawowych metod ochrony jest uwierzytelnienie wieloskładnikowe (MFA), które znacząco utrudnia przejęcie tożsamości nawet po wycieku hasła.

Według Checkpoint Cloud Security Report 2025 aż 35% incydentów zostało odkrytych dzięki narzędziom cyberbezpieczeństwa, dlatego warto m.in. powierzyć ochronę firmowych zasobów profesjonalnemu Security Operations Center, które nimi dysponuje i zajmie się m.in. wykrywaniem i reagowaniem na incydenty oraz analizą bieżącego ruchu.

Do monitorowania infrastruktury w chmurze i reagowania na pojawiające się w niej incydenty można wykorzystać rozwiązanie klasy Cortex (SOAR), które pozwala wykrywać anomalie i podejmować stosowne działania. Precyzyjne i zaawansowane systemy umożliwiają eliminowanie wektorów zagrożenia na wczesnym etapie łańcucha ataku, dzięki czemu zmniejszają jego powierzchnię.

Wspomniany wcześniej raport wskazuje, że 23% incydentów zgłaszają dotknięci nimi użytkownicy, dlatego tak ważne jest, aby dbać o wysoki poziom security awareness. Nasi specjaliści mogą przeprowadzić szkolenia z zakresu cyberbezpieczeństwa dla pracowników i uwrażliwić ich na potencjalne zagrożenia.