Oracle-Kunden bestätigen: Daten wurden bei Cloud-Einbruch tatsächlich offengelegt

 (bleepingcomputer.com)
2 Punkte von GN⁺ 2025-03-28 | 1 Kommentare | Auf WhatsApp teilen
  • Oracle bestritt einen Einbruch in den SSO-Anmeldeserver von Oracle Cloud und den Diebstahl von Kontodaten von 6 Millionen Nutzern, doch durch Abgleiche mit mehreren Unternehmen wurde bestätigt, dass die vom Bedrohungsakteur geteilten Datenproben gültig sind
  • Eine Person mit dem Namen 'rose87168' behauptet, Oracle-Cloud-Server kompromittiert zu haben, und begann, Authentifizierungsdaten und verschlüsselte Passwörter von 6 Millionen Nutzern zu verkaufen. Der Bedrohungsakteur behauptet, die gestohlenen SSO- und LDAP-Passwörter entschlüsseln zu können, und bot an, die Daten mit Personen zu teilen, die bei deren Wiederherstellung helfen können.
  • Der Bedrohungsakteur veröffentlichte mehrere Textdateien mit Datenbanken, LDAP-Daten und einer Liste von 140.621 Domains von Unternehmen und Regierungsbehörden, die mutmaßlich von dem Einbruch betroffen sind. Einige Unternehmensdomains scheinen zu Testzwecken zu dienen, und pro Unternehmen existieren mehrere Domains.
  • Der Bedrohungsakteur teilte BleepingComputer eine Archive.org-URL zu einer Textdatei mit, die auf dem Server login.us2.oraclecloud.com gehostet wurde. Dies deutet darauf hin, dass der Bedrohungsakteur Dateien auf Oracle-Servern anlegen konnte, was auf einen tatsächlichen Einbruch hindeutet.
  • Oracle bestreitet jedoch weiterhin einen Einbruch in Oracle Cloud und beantwortet keine weiteren Fragen zu dem Vorfall. Oracle erklärte gegenüber BleepingComputer: "Es gab keinen Einbruch in Oracle Cloud. Die veröffentlichten Zugangsdaten stammen nicht aus Oracle Cloud. Oracle-Cloud-Kunden haben weder einen Einbruch noch Datenverlust erlebt."
  • Dieses Dementi widerspricht den Erkenntnissen von BleepingComputer. BleepingComputer erhielt weitere Proben vom Bedrohungsakteur und kontaktierte betroffene Unternehmen, um die Echtheit der Daten zu prüfen. Unternehmensvertreter, die die Daten unter der Bedingung der Anonymität überprüften, bestätigten, dass identifizierende Informationen wie LDAP-Anzeigenamen, E-Mail-Adressen und Namen korrekt seien und zu ihnen gehörten.
  • Der Bedrohungsakteur teilte BleepingComputer einen E-Mail-Austausch mit Oracle. In einer E-Mail meldete der Bedrohungsakteur den Server-Hack an Oracles Sicherheitsadresse secalert_us@oracle.com.
  • In einem weiteren E-Mail-Austausch teilte der Bedrohungsakteur ein Gespräch mit einer Person, die eine @proton.me-Adresse von Oracle nutzte. BleepingComputer konnte die Identität dieser E-Mail-Adresse oder die Echtheit des Austauschs nicht verifizieren und entfernte daher die Adresse.
  • Das Cybersicherheitsunternehmen Cloudsek fand eine Archive.org-URL, aus der hervorgeht, dass der Server login.us2.oraclecloud.com am 17. Februar 2025 Oracle Fusion Middleware 11g ausführte. Oracle nahm diesen Server offline, nachdem über den mutmaßlichen Einbruch berichtet worden war.
  • Diese Softwareversion ist von der als CVE-2021-35587 verfolgten Schwachstelle betroffen, über die ein nicht authentifizierter Angreifer Oracle Access Manager kompromittieren kann. Der Bedrohungsakteur behauptet, dass diese Schwachstelle für den Einbruch in die Oracle-Server genutzt wurde.
  • BleepingComputer schickte Oracle mehrfach E-Mails zu diesen Informationen, erhielt jedoch keine Antwort.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-28
Hacker-News-Kommentare
  • BleepingComputer hat mit mehreren Unternehmen bestätigt, dass die vom Bedrohungsakteur geteilten Datenproben echt sind
  • rose87168 teilte BleepingComputer eine Archive.org-URL mit; diese enthält eine Textdatei, die auf dem Server login.us2.oraclecloud.com gehostet wird. Das deutet darauf hin, dass der Bedrohungsakteur Dateien auf einem Oracle-Server anlegen konnte, und spricht für einen tatsächlichen Einbruch
  • Oracle hätte die Gültigkeit von Anfang an anerkennen sollen
  • Es gibt keine nennenswerte Strafe für einen Einbruch, und zu lügen kann PR-seitig schlimmere Folgen haben als der Einbruch selbst
  • Schon die Tatsache, dass Oracle sein Login-Gateway auf einem Produkt mit einer seit 2021 bekannten Schwachstelle gehostet hat, ist ziemlich beunruhigend
  • Dass Oracle den Einbruch trotz eindeutiger Beweise bestreitet, ist typisch
  • Ich frage mich, wie die Nutzerstruktur der Cloud-Produkte von Oracle aussieht; Berichte über sie deuten auf langfristige Schmerzen hin
  • Dieser Vorfall trägt nicht gerade dazu bei, das Vertrauen in ihre Produkte zu stärken
  • Wer schon einmal Oracle betrieben hat, versteht wahrscheinlich, warum es nicht gepatcht wurde. Sie machen es einem nicht leicht
  • Der Bedrohungsakteur behauptet, von jemandem mit einer Oracle-@proton.me-E-Mail-Adresse eine Nachricht erhalten zu haben: „Ich habe deine E-Mail bekommen. Lass uns ab jetzt diese E-Mail verwenden. Gib Bescheid, wenn du sie erhältst.“
  • E-Mail ist eine der Quellen, die in den meisten börsennotierten Unternehmen für einen bestimmten Zeitraum aufbewahrt werden müssen (7 Jahre?). Vermutlich ein Versuch, Aufzeichnungen zu vermeiden
  • Datenpannen wirken sich leider nicht auf den Aktienkurs aus. Unternehmen, die Oracle-Produkte verwenden, werden kurzfristig kaum migrieren
  • Künftige Verkäufe könnten betroffen sein, und einige kleinere Unternehmen könnten migrieren. Oracle wird das aber so weit wie möglich kleinreden
  • „Abstreiten. Verzögern. Verteidigen.“ ist nicht nur ein Slogan der Krankenversicherung
  • Ich frage mich, ob auch Kundendaten von Oracle Opera Cloud und Oracle NetSuite Cloud gestohlen wurden. Viele Hotels weltweit nutzen Opera + NetSuite
  • Ich habe vor 10 Jahren bei einem der drei größten Versicherungsmakler gearbeitet, als „Cyber“-Policen eingeführt wurden. Ich frage mich, wer die Oracle-Police gezeichnet hat und wie teuer das in diesem Tower wird. Gab es keine Police? Hoffentlich deckt D&O Aktionärsklagen ab. Enge Beziehungen zur Regierung lassen Spielraum bei der Auslegung von Regeln
  • Tyler Technologies gab Judyrecords.com die Schuld daran, dass versiegelte Fälle in Kalifornien offengelegt wurden, und behauptete wegen ihres fehlerhaften Verschleierungssystems eine Sicherheitsverletzung. Verantwortung wird abgewälzt
  • Regel Nr. 1 bei einem Einbruch ist, das Wort „Einbruch“ nicht in E-Mails zu verwenden. Daher wird vermutlich außerhalb ihrer Domain darüber gesprochen
  • Ich frage mich, wie lange Oracle das bestritten hat. Drei Tage?
  • Larry und Trump stehen sich nahe. Oracle wird (oder sollte) die CISO von OCI und SaaS entlassen