A Oracle negou ter sofrido um ataque cibernético após um cibercriminoso alegar estar vendendo 6 milhões de registros de dados supostamente roubados dos servidores de login SSO (Single Sign-On) federados da Oracle Cloud.
"Não houve qualquer violação da Oracle Cloud. As credenciais publicadas não são da Oracle Cloud.
Nenhum cliente da Oracle Cloud sofreu violações ou perdeu dados", informou a empresa.
Essa declaração surge após um cibercriminoso conhecido como rose87168 ter divulgado ontem vários arquivos de texto contendo uma amostra de banco de dados, informações de LDAP e uma lista das empresas que ele alega terem sido roubadas da plataforma SSO da Oracle Cloud.
Como prova adicional de que tinha acesso aos servidores da Oracle Cloud, o cibercriminoso compartilhou este URL, mostrando um URL do Internet Archive que indica o upload de um arquivo .txt contendo seu endereço de e-mail ProtonMail no servidor login.us2.oraclecloud.com.
Agora, rose87168 está vendendo os dados supostamente roubados do serviço SSO da Oracle Cloud por um preço não divulgado ou em troca de exploits zero-day no fórum de hacking BreachForums.
Eles dizem que os dados (incluindo senhas SSO criptografadas, arquivos Java Keystore (JKS), arquivos chave e chaves de gerente empresarial JPS) foram roubados após hackear os servidores 'login.(nome-da-região).oraclecloud.com' da Oracle.
"As senhas SSO estão criptografadas, elas podem ser descriptografadas com os arquivos disponíveis.
Além disso, as senhas hash do LDAP podem ser quebradas", diz rose87168.
"Listarei os domínios de todas as empresas neste vazamento. As empresas podem pagar um valor específico para remover as informações de seus funcionários da lista antes de ser vendida".
Eles também se ofereceram para compartilhar alguns dos dados com quem puder ajudar a descriptografar as senhas SSO ou quebrar as senhas LDAP.
O cibercriminoso informou que ganhou acesso aos servidores da Oracle Cloud cerca de 40 dias atrás e alegou ter enviado um e-mail para a empresa após exfiltrar dados das regiões de nuvem US2 e EM2.
Na troca de e-mails, rose87168 disse ter pedido à Oracle para pagar 100.000 XMR por informações sobre como eles violaram os servidores, mas a empresa supostamente se recusou a pagar após pedir "todas as informações necessárias para correção e patch".
Quando questionado sobre como violou os servidores, o cibercriminoso disse que todos os servidores da Oracle Cloud usam uma versão vulnerável com um CVE (falha) público que atualmente não possui um PoC ou exploit público.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...