Eksperci twierdzą, że było włamanie. Oracle zaprzecza

Użytkownik posługujący się nazwą „rose87168” ogłosił niedawno na forum hakerskim sprzedaż danych powiązanych z ponad 140 000 klientów Oracle Cloud. Haker twierdzi, że uzyskał sześć milionów wierszy danych, w tym hasła SSO i LDAP!

Rzecznik Oracle kategorycznie zaprzeczył powyższym twierdzeniom: „Opublikowane dane uwierzytelniające nie dotyczą Oracle Cloud. Żaden klient Oracle Cloud nie doświadczył naruszenia ani nie stracił danych”.

Tymczasem pojawia się coraz więcej dowodów na potwierdzenie słów hakera. Po wykazaniu, że jest w stanie przesłać dowolny plik do systemów Oracle Cloud, rose87168 dostarczył przykładowe dane składające się z około 10 000 rekordów kilku firmom analitycznym, by udowodnić, że włamanie miało miejsce.

Współzałożyciel i dyrektor techniczny Hudson Rock, Alon Gal, poinformował we wtorek 25 marca, że otrzymał od kilku klientów korzystających z Oracle Cloud potwierdzenie co do prawdziwości wyciekłych danych oraz ich związku ze środowiskiem produkcyjnym. Niektórzy informowali, że ujawnione konta mają dostęp do poufnych danych. Jeden z klientów rozpoznał wyciekłe dane jako pochodzące z końca 2023 r., ale haker  twierdzi, że te z 2025 r. również zostały naruszone.

CloudSEK, inna firma cybersecurity, również przeanalizowała przykładowe dane oraz informacje dostarczone przez hakera i znalazła dowody wskazujące na to, że doszło do jakiegoś rodzaju naruszenia systemów Oracle Cloud, a dane użytkowników są prawdziwe.

„Objętość i struktura wyciekłych informacji sprawiają, że ich sfabrykowanie byłoby niezwykle trudne, co wzmacnia wiarygodność naruszenia” – ocenili eksperci CloudSEK. Firma opracowała ponadto proste narzędzie online, które pozwala organizacjom sprawdzić, czy zostały dotknięte atakiem.

Kela, czyli kolejna firma zajmująca się wywiadem dotyczącym zagrożeń, także przeanalizowała dane z próbek udostępnionych przez hakera i poinformowała, że znalazła 1547 unikalnych nazw domen (głównie związanych z firmami prywatnymi) i 1510 odrębnych identyfikatorów dzierżawców. Specjaliści zidentyfikowali ofiary w 90 krajach, przy czym najwyższy odsetek odnotowano w Wielkiej Brytanii, Stanach Zjednoczonych, Włoszech, Francji i Niemczech. Kela odkryła również domeny powiązane z rządami oraz podmiotami publicznymi w Stanach Zjednoczonych, Wielkiej Brytanii, Włoszech, Szwecji, Norwegii, Danii, Finlandii, Portugalii, Belgii, Austrii i Brazylii.

Istnieją pewne przesłanki wskazujące, że atak na systemy Oracle Cloud może obejmować wykorzystanie luki w zabezpieczeniach własnych produktów Oracle. Jednym z prawdopodobnych kandydatów jest CVE-2021-35587, który ma wpływ na Oracle Fusion Middleware. Sprawa jest wyjątkowo świeża i czekamy na to, by Oracle pod wpływem dowodów zmieniło swoje stanowisko. Jeżeli do tego dojdzie, to kategoryczne zaprzeczenia przed dokładną inwestygacją zdecydowanie nie były najlepszym ruchem PR-owym.