Bien qu’Oracle ait nié une violation de ses serveurs de connexion SSO fédérés Oracle Cloud et le vol des données de compte de 6 millions de personnes, Breachtrace a confirmé auprès de plusieurs entreprises que les échantillons de données associés partagés par l’auteur de la menace sont valides.
La semaine dernière, une personne nommée « rose87168 » a affirmé avoir violé les serveurs Oracle Cloud et a commencé à vendre les données d’authentification présumées et les mots de passe cryptés de 6 millions d’utilisateurs. L’auteur de la menace a également déclaré que les mots de passe SSO et LDAP volés pouvaient être déchiffrés à l’aide des informations contenues dans les fichiers volés et a proposé de partager certaines des données avec quiconque pourrait les aider à les récupérer.
L’auteur de la menace a publié plusieurs fichiers texte composés d’une base de données, de données LDAP et d’une liste de 140 621 domaines d’entreprises qui auraient été touchés par la violation. Il convient de noter que certains domaines d’entreprise ressemblent à des tests et qu’il existe plusieurs domaines par entreprise.
En plus des données, rose87168 a partagé un Archive.org URL avec Breachtrace pour un fichier texte hébergé sur le « login.us2.oraclecloud.com » serveur qui contenait leur adresse e-mail. Ce fichier indique que l’auteur de la menace pourrait créer des fichiers sur le serveur d’Oracle, indiquant une violation réelle.
Cependant, Oracle a nié avoir subi une violation d’Oracle Cloud et a refusé de répondre à toute autre question sur l’incident.
« Il n’y a eu aucune violation d’Oracle Cloud. Les informations d’identification publiées ne sont pas destinées à Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ou perdu de données », a déclaré la société à Breachtrace vendredi dernier.
Ce démenti contredit toutefois les conclusions de Breachtrace , qui a reçu des échantillons supplémentaires des données divulguées de l’auteur de la menace et a contacté les sociétés associées.
Les représentants de ces sociétés, qui ont tous accepté de confirmer les données sous la promesse de l’anonymat, ont confirmé l’authenticité des informations. Les entreprises ont déclaré que les noms d’affichage LDAP, adresses électroniques, prénoms et autres informations d’identification associés étaient tous corrects et leur appartenaient.
L’auteur de la menace a également partagé des courriels avec Breachtrace , prétendant faire partie d’un échange entre eux et Oracle.
Un e-mail montre que l’auteur de la menace contacte l’e-mail de sécurité d’Oracle ([email protected]) pour signaler qu’ils ont piraté les serveurs.
« J’ai fouillé dans votre infrastructure de tableau de bord cloud et j’ai trouvé une vulnérabilité massive qui m’a donné un accès complet aux informations sur 6 millions d’utilisateurs », lit-on dans l’e-mail vu par Breachtrace .
Un autre fil de discussion partagé avec Breachtrace montre un échange entre l’auteur de la menace et une personne utilisant une adresse e-mail ProtonMail qui prétend provenir d’Oracle. Breachtrace a expurgé l’adresse e-mail de cette autre personne car nous n’avons pas pu vérifier son identité ni la véracité du fil de discussion.
Dans cet échange de courriels, l’auteur de la menace dit que quelqu’un d’Oracle utilise un @proton.me l’adresse e-mail leur a dit que « Nous avons reçu vos e-mails. Utilisons cet e-mail pour toutes les communications à partir de maintenant. Dis-moi quand tu auras ça. »
La société de cybersécurité Cloudsek a également trouvé un Archive.org URL montrant que le « login.us2.oraclecloud.com » le serveur exécutait Oracle Fusion Middleware 11g au 17 février 2025. Oracle a depuis mis ce serveur hors ligne après que la nouvelle de la violation présumée a été signalée.
Cette version du logiciel a été affectée par une vulnérabilité identifiée comme CVE-2021-35587 qui a permis à des attaquants non authentifiés de compromettre Oracle Access Manager. L’auteur de la menace a affirmé que cette vulnérabilité avait été utilisée dans la violation présumée des serveurs d’Oracle.
Breachtrace a envoyé un e-mail à Oracle à de nombreuses reprises à propos de cette information mais n’a reçu aucune réponse.