Хотя компания Oracle отрицает факт взлома федеративных SSO-логин-серверов Oracle Cloud и кражи данных 6 млн клиентов, СМИ сообщают, что в нескольких компаниях уже подтвердили подлинность образцов данных, предоставленных злоумышленником.

Напомним, что на прошлой неделе злоумышленник под ником rose87168 опубликовал на хакерском форуме BreachForums данные, якобы похищенные из Oracle Cloud. Хакер писал, что готов продать данные или обменять их на 0-day эксплоиты, а также предложил поделиться частью информации с теми, кто поможет ему расшифровать пароли SSO или взломать пароли LDAP.

Свои заявления rose87168 подкрепил публикацией нескольких текстовых файлов с образцами данных из БД и информацией LDAP, а также списка из 140 621 домена, которые принадлежат компаниям, якобы пострадавшим от этой утечки.

По словам хакера, данные были украдены во время взлома серверов login.(название-региона).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), файлы ключей и ключи JPS для менеджера предприятия.

В качестве дополнительного доказательства доступа к серверам Oracle Cloud, злоумышленник предоставил изданию Bleeping Computer эту ссылку на Internet Archive, которая показывает, что rose87168 смог загрузить текстовый файл с адресом электронной почты ProtonMail на сервер login.us2.oraclecloud.com. То есть хакер мог создавать файлы на сервере Oracle.

Специалисты компании Cloudsek обнаружили, что еще 17 февраля 2025 года сервер login.us2.oraclecloud.com работал на Oracle Fusion Middleware 11g. После того как стало известно о предполагаемом взломе, Oracle отключила этот сервер.

Дело в том, что эта версия подвержена уязвимости CVE-2021-35587, которая позволяет неавторизованным лицам скомпрометировать Oracle Access Manager.

Однако на прошлой неделе представители Oracle заявили СМИ, что никакого взлома не было.

«Взлома Oracle Cloud не было. Опубликованные учетные данные не связаны с Oracle Cloud. Ни один из клиентов Oracle Cloud не пострадал от кибератаки или утечки данных», — утверждали в компании.

Теперь издание Bleeping Computer, которому злоумышленник предоставил дополнительные образцы украденных данных, связалось с фигурирующими в файлах компаниями, и там взлом подтвердили.

Представители компаний, согласившиеся проверить данные на условиях анонимности, подтвердили изданию подлинность информации rose87168. В компаниях заявили, что связанные с LDAP имена, адреса электронной почты и другая информация верны и действительно принадлежат им.

Кроме того, злоумышленник поделился с Bleeping Computer электронными письмами, которыми он якобы обменивался с представителями Oracle. В одном из писем хакер писал на адрес secalert_us@oracle.com и сообщал о взломе серверов.

«Я покопался в инфраструктуре вашей облачной панели управления и обнаружил гигантскую уязвимость, благодаря которой получил полный доступ к информации о 6 млн пользователей», — заявлял rose87168.

Хотя представители Bleeping Computer неоднократно пытались связаться с Oracle, ответа от компании журналисты не получили.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии