Oracle neagă că a fost încălcată după ce un actor de amenințare a pretins că vinde 6 milioane de înregistrări de date presupus furate de pe serverele de conectare Oracle Cloud federate SSO ale companiei.
„Nu a existat nicio încălcare a Oracle Cloud. Credențialele publicate nu sunt pentru Oracle Cloud. Niciun client Oracle Cloud nu a experimentat o încălcare sau nu a pierdut date”, a declarat compania pentru BleepingComputer.
Această declarație vine după ce un actor de amenințare cunoscut sub numele de rose87168 a eliberat ieri mai multe fișiere text care conțineau o bază de date de probă, informații LDAP și o listă a companiilor pe care pretindeau că le-au furat din platforma SSO a Oracle Clouds.
În calitate de dovadă suplimentară că au avut acces la serverele Oracle Cloud, actorul de amenințare a împărtășit acest URL cu BleepingComputer, arătând un URL al Arhivei Internetului care indică faptul că au încărcat un fișier .txt conținând adresa lor de e-mail ProtonMail pe serverul login.us2.oraclecloud.com.
BleepingComputer a contactat din nou Oracle pentru a explica cum actorul de amenințare a încărcat un fișier text conținând adresa lor de e-mail fără acces la serverele Oracle Cloud.
rose87168 vinde acum datele presupus furate de la serviciul SSO al Oracle Cloud pentru un preț nedivulgat sau în schimbul exploiturilor de zero-day pe forumul de hacking BreachForums.
Spun că datele (inclusiv parolele SSO criptate, fișierele Java Keystore (JKS), fișierele cheie și cheile enterprise manager JPS) au fost furate după ce au spart serverele Oracle ‘login.(nume-regiune).oraclecloud.com’.
„Parolele SSO sunt criptate, pot fi decriptate cu fișierele disponibile. de asemenea, parola LDAP hashată poate fi spartă”, spune rose87168. „Voi enumera domeniile tuturor companiilor din această scurgere. Companiile pot plăti o sumă specifică pentru a elimina informațiile angajaților lor din listă înainte de a fi vândute.”
De asemenea, au oferit să împărtășească unele dintre date cu oricine poate ajuta la decriptarea parolelor SSO sau spargerea parolelor LDAP.
Actorul de amenințare a spus BleepingComputer că au obținut acces la serverele Oracle Cloud acum aproximativ 40 de zile și au pretins că au trimis un e-mail companiei după extragerea datelor din regiunile cloud US2 și EM2.
În schimbul de e-mail, rose87168 a spus că au cerut Oracle să plătească 100.000 XMR pentru informații despre cum au spart serverele, dar compania a refuzat să plătească după ce a cerut „toate informațiile necesare pentru remediere și patch
Când li s-a cerut cum au spart serverele, actorul de amenințare a spus că toate serverele Oracle Cloud folosesc o versiune vulnerabilă cu un CVE public (defect) care nu are în prezent un PoC sau exploit public. BleepingComputer nu a putut verifica independent dacă acest lucru este cazul.
BleepingComputer a contactat diverse companii ale căror date au fost presupus furate pentru a confirma dacă sunt valabile. Vom actualiza acest articol dacă primim un răspuns.
Pe baza unei analize a 14M de acțiuni malitioase, descoperiți primele 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Hackerul a scurs datele contului a 12 milioane de utilizatori Zacks Investment
Încălcarea datelor uniunii de educație din Pennsylvania a afectat 500.000 de persoane
Gigantul australian de FIV Genea a fost spart de banda de ransomware Termite
Grupul Orange confirmă încălcarea după ce hackerul a scurs documente ale companiei
Gigantul Fintech Finastra notifică victimele încălcării datelor din octombrie
Leave a Reply