Хакеры утверждают, что похитили 6 млн записей с федеративных SSO-логин-серверов Oracle Cloud. Представители компании отрицают факт взлома и заявили, что клиенты не пострадали.
Злоумышленник под ником rose87168 опубликовал на хакерском форуме BreachForums данные, якобы похищенные из Oracle Cloud. Хакер пишет, что готов продать данные или обменять их на 0-day эксплоиты.
Свои заявления rose87168 подтвердил, опубликовав несколько текстовых файлов с образцами данных из БД, информацию LDAP и список компаний, которые якобы пострадали в результате утечки.
По словам хакера, данные были украдены во время взлома серверов login.(название-региона).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), файлы ключей и ключи JPS для менеджера предприятия.
В качестве дополнительного доказательства доступа к серверам Oracle Cloud, злоумышленник предоставил изданию Bleeping Computer эту ссылку на Internet Archive, которая показывает, что rose87168 загрузил текстовый файл с адресом электронной почты ProtonMail на сервер login.us2.oraclecloud.com.
«Пароли SSO зашифрованы, их можно расшифровать с помощью имеющихся файлов. Также можно взломать хешированный пароль LDAP, — заявляет rose87168. — Я перечислю домены всех компаний, попавших в эту утечку. Компании могут заплатить определенную сумму, чтобы удалить информацию о своих сотрудниках из списка, прежде чем данные будут проданы».
Также хакер предложил поделиться частью информации с теми, кто поможет ему расшифровать пароли SSO или взломать пароли LDAP.
Rose87168 сообщил журналистам, что получил доступ к серверам Oracle Cloud около 40 дней назад и якобы отправил компании электронное письмо после извлечения данных из облачных регионов US2 и EM2. В письме он потребовал у Oracle выкуп в размере 100 000 XMR, а в обмен обещал рассказать, как именно скомпрометировал серверы. Однако компания якобы отказалась платить, запросив у хакера «всю информацию, необходимую для исправления уязвимости и выпуска патча».
В беседе с журналистами rose87168 пояснил, что все серверы Oracle Cloud уязвимы перед некой проблемой с публичным идентификатором CVE, но для этой уязвимости пока не существует публично доступного PoC или готового эксплоита.
В свою очередь, представители Oracle и заявили Bleeping Computer, что никакого взлома не было.
«Взлома Oracle Cloud не было. Опубликованные учетные данные не связаны с Oracle Cloud. Ни один из клиентов Oracle Cloud не пострадал от кибератаки или утечки данных», — утверждают в компании.
