Apesar da Oracle negar um ataque a seus servidores de login SSO federado do Oracle Cloud e o roubo de dados de contas de 6 milhões de pessoas, foi confirmado com várias empresas que as amostras de dados associadas compartilhadas pelo ator de ameaças são válidas.
Na semana passada, uma pessoa com o nome de ‘rose87168’ afirmou ter invadido servidores do Oracle Cloud e começou a vender os supostos dados de autenticação e senhas criptografadas de 6 milhões de usuários.
O ator de ameaças também disse que as senhas SSO e LDAP roubadas poderiam ser descriptografadas usando as informações nos arquivos roubados e ofereceu compartilhar alguns dos dados com quem pudesse ajudar a recuperá-los.
O ator de ameaças liberou vários arquivos de texto consistindo em um banco de dados, dados LDAP e uma lista de 140.621 domínios de empresas e agências governamentais que teriam sido impactadas pelo ataque.
Vale ressaltar que alguns dos domínios das empresas parecem ser testes e há múltiplos domínios por empresa.
Além dos dados, rose87168 compartilhou um URL do Archive.org com a imprensa de um arquivo de texto hospedado no servidor "login.us2.oraclecloud.com" que continha o endereço de email deles.
Este arquivo indica que o ator de ameaças conseguiu criar arquivos no servidor da Oracle, indicando um ataque real.
No entanto, a Oracle negou que tenha sofrido um ataque ao Oracle Cloud e recusou-se a responder quaisquer outras perguntas sobre o incidente.
Não houve ataque ao Oracle Cloud.
As credenciais publicadas não são do Oracle Cloud.
Representantes dessas empresas, todos que concordaram em confirmar os dados sob a promessa de anonimato, confirmaram a autenticidade das informações.
As empresas afirmaram que os nomes de exibição LDAP associados, endereços de email, nomes próprios e outras informações de identificação estavam todos corretos e pertenciam a eles.
O ator de ameaças também compartilhou e-mails , afirmando ser parte de uma troca entre eles e a Oracle.
Um e-mail mostra o ator de ameaças contatando o e-mail de segurança da Oracle ([email protected]) para relatar que havia hackeado os servidores.
"Eu investiguei sua infraestrutura de painel de controle da nuvem e encontrei uma vulnerabilidade massiva que me deu acesso total a informações de 6 milhões de usuários," diz o e-mail.
Outro encadeamento de e-mails compartilhado com a imprensa mostra uma troca entre o ator de ameaças e alguém usando um endereço de e-mail ProtonMail quem afirma ser da Oracle.
Nessa troca de e-mails, o ator de ameaças diz que alguém da Oracle usando um endereço de e-mail @proton.me lhes disse que "Recebemos seus e-mails. Vamos usar este e-mail para todas as comunicações de agora em diante. Me avise quando receber isso."
A firma de cibersegurança Cloudsek também encontrou um URL do Archive.org mostrando que o servidos "login.us2.oraclecloud.com" estava rodando Oracle Fusion Middleware 11g até 17 de fevereiro de 2025.
A Oracle retirou este servidor do ar após as notícias do suposto ataque serem reportadas.
Essa versão do software foi impactada por uma vulnerabilidade rastreada como
CVE-2021-35587
que permitia a atacantes não autenticados comprometer o Oracle Access Manager.
O ator de ameaças alegou que essa vulnerabilidade foi usada no suposto ataque aos servidores da Oracle.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...