Meskipun Oracle menyangkal pelanggaran server login Oracle Cloud Federated SSO dan pencurian data akun untuk 6 juta orang, BleepingComputer telah mengkonfirmasi dengan banyak perusahaan bahwa sampel data terkait yang dibagikan oleh aktor ancaman valid.
Pekan lalu, seseorang bernama ‘Rose87168’ mengklaim memiliki Server Oracle Cloud yang Terbaik dan mulai menjual data otentikasi yang diduga dan kata sandi terenkripsi dari 6 juta pengguna. Aktor ancaman juga mengatakan bahwa kata sandi SSO dan LDAP yang dicuri dapat didekripsi menggunakan info dalam file yang dicuri dan menawarkan untuk membagikan beberapa data dengan siapa saja yang dapat membantu memulihkannya.
Aktor ancaman merilis beberapa file teks yang terdiri dari database, data LDAP, dan daftar 140.621 domain perusahaan yang diduga dipengaruhi oleh pelanggaran tersebut. Perlu dicatat bahwa beberapa domain perusahaan terlihat seperti tes, dan ada beberapa domain per perusahaan.
Sumber: BleepingComputer
Selain data, Rose87168 berbagi URL Archive.org Dengan BleepingComputer untuk file teks yang dihosting di server “login.us2.oracleCloud.com” yang berisi alamat email mereka. File ini menunjukkan bahwa aktor ancaman dapat membuat file di server Oracle, menunjukkan pelanggaran yang sebenarnya.
Namun, Oracle membantah bahwa mereka menderita pelanggaran Oracle Cloud dan telah menolak untuk menanggapi pertanyaan lebih lanjut tentang insiden tersebut.
“Belum ada pelanggaran Oracle Cloud. Kredensial yang diterbitkan bukan untuk Oracle Cloud. Tidak ada pelanggan Oracle Cloud yang mengalami pelanggaran atau kehilangan data apa pun,” kata perusahaan itu kepada BleepingComputer Jumat lalu.
Namun, penolakan ini bertentangan dengan temuan dari BleepingComputer, yang menerima sampel tambahan dari data yang bocor dari aktor ancaman dan menghubungi perusahaan terkait.
Perwakilan dari perusahaan -perusahaan ini, semua yang setuju untuk mengkonfirmasi data di bawah janji anonimitas, mengkonfirmasi keaslian informasi tersebut. Perusahaan menyatakan bahwa nama tampilan LDAP yang terkait, alamat email, nama yang diberikan, dan informasi pengenal lainnya semuanya benar dan menjadi milik mereka.
Aktor ancaman juga berbagi email dengan BleepingComputer, mengklaim sebagai bagian dari pertukaran antara mereka dan Oracle.
Satu email menunjukkan aktor ancaman yang menghubungi email keamanan Oracle (secalert_us@oracle.com) untuk melaporkan bahwa mereka meretas server.
“Saya telah menggali infrastruktur dasbor cloud Anda dan menemukan kerentanan besar -besaran yang telah memberi saya akses penuh ke info tentang 6 juta pengguna,” bunyi email yang dilihat oleh BleepingComputer.
Utas email lain yang dibagikan dengan BleepingComputer menunjukkan pertukaran antara aktor ancaman dan seseorang yang menggunakan alamat email ProtonMail yang mengklaim berasal dari Oracle. BleepingComputer telah mengurangi alamat email orang lain karena kami tidak dapat memverifikasi identitas mereka atau kebenaran utas email.
Dalam pertukaran email ini, aktor ancaman mengatakan seseorang dari Oracle menggunakan alamat email @proton.me memberi tahu mereka bahwa “Kami menerima email Anda. Mari kita gunakan email ini untuk semua komunikasi mulai sekarang. Beri tahu saya ketika Anda mendapatkan ini.”
Perusahaan cybersecurity Cloudsek juga memiliki ditemukan sebuah URL Archive.org Menunjukkan bahwa server “login.us2.oracleCloud.com” menjalankan Oracle Fusion Middleware 11g pada 17 Februari 2025. Oracle sejak itu mengambil server ini offline setelah berita tentang dugaan pelanggaran dilaporkan.
Versi perangkat lunak ini dipengaruhi oleh kerentanan yang dilacak sebagai CVE-2021-35587 Itu memungkinkan penyerang yang tidak otentikasi untuk mengkompromikan Oracle Access Manager. Aktor ancaman mengklaim bahwa kerentanan ini digunakan dalam dugaan pelanggaran server Oracle.
BleepingComputer telah mengirim email kepada Oracle berkali -kali tentang informasi ini tetapi belum menerima tanggapan apa pun.
