Apesar da Oracle negar um ataque a seus servidores de login SSO federado do Oracle Cloud e o roubo de dados de contas de 6 milhões de pessoas, foi confirmado com várias empresas que as amostras de dados associadas compartilhadas pelo ator de ameaças são válidas.
Na semana passada, uma pessoa com o nome de ‘rose87168’ afirmou ter invadido servidores do Oracle Cloud e começou a vender os supostos dados de autenticação e senhas criptografadas de 6 milhões de usuários.
O ator de ameaças também disse que as senhas SSO e LDAP roubadas poderiam ser descriptografadas usando as informações nos arquivos roubados e ofereceu compartilhar alguns dos dados com quem pudesse ajudar a recuperá-los.
O ator de ameaças liberou vários arquivos de texto consistindo em um banco de dados, dados LDAP e uma lista de 140.621 domínios de empresas e agências governamentais que teriam sido impactadas pelo ataque.
Vale ressaltar que alguns dos domínios das empresas parecem ser testes e há múltiplos domínios por empresa.
Além dos dados, rose87168 compartilhou um URL do Archive.org com a imprensa de um arquivo de texto hospedado no servidor "login.us2.oraclecloud.com" que continha o endereço de email deles.
Este arquivo indica que o ator de ameaças conseguiu criar arquivos no servidor da Oracle, indicando um ataque real.
No entanto, a Oracle negou que tenha sofrido um ataque ao Oracle Cloud e recusou-se a responder quaisquer outras perguntas sobre o incidente.
Não houve ataque ao Oracle Cloud.
As credenciais publicadas não são do Oracle Cloud.
Representantes dessas empresas, todos que concordaram em confirmar os dados sob a promessa de anonimato, confirmaram a autenticidade das informações.
As empresas afirmaram que os nomes de exibição LDAP associados, endereços de email, nomes próprios e outras informações de identificação estavam todos corretos e pertenciam a eles.
O ator de ameaças também compartilhou e-mails , afirmando ser parte de uma troca entre eles e a Oracle.
Um e-mail mostra o ator de ameaças contatando o e-mail de segurança da Oracle ([email protected]) para relatar que havia hackeado os servidores.
"Eu investiguei sua infraestrutura de painel de controle da nuvem e encontrei uma vulnerabilidade massiva que me deu acesso total a informações de 6 milhões de usuários," diz o e-mail.
Outro encadeamento de e-mails compartilhado com a imprensa mostra uma troca entre o ator de ameaças e alguém usando um endereço de e-mail ProtonMail quem afirma ser da Oracle.
Nessa troca de e-mails, o ator de ameaças diz que alguém da Oracle usando um endereço de e-mail @proton.me lhes disse que "Recebemos seus e-mails. Vamos usar este e-mail para todas as comunicações de agora em diante. Me avise quando receber isso."
A firma de cibersegurança Cloudsek também encontrou um URL do Archive.org mostrando que o servidos "login.us2.oraclecloud.com" estava rodando Oracle Fusion Middleware 11g até 17 de fevereiro de 2025.
A Oracle retirou este servidor do ar após as notícias do suposto ataque serem reportadas.
Essa versão do software foi impactada por uma vulnerabilidade rastreada como
CVE-2021-35587
que permitia a atacantes não autenticados comprometer o Oracle Access Manager.
O ator de ameaças alegou que essa vulnerabilidade foi usada no suposto ataque aos servidores da Oracle.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...