Oracle nie avoir été piraté après qu’un acteur de la menace a prétendu vendre 6 millions d’enregistrements de données prétendument volés sur les serveurs de connexion SSO fédérés Oracle Cloud de l’entreprise.
« Il n’y a eu aucune violation d’Oracle Cloud. Les informations d’identification publiées ne sont pas destinées à Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ou perdu de données », a déclaré la société à Breachtrace .
Cette déclaration intervient après qu’un acteur de la menace connu sous le nom de rose87168 a publié hier plusieurs fichiers texte contenant un exemple de base de données, des informations LDAP et une liste des entreprises qui, selon eux, ont été volées de la plate-forme SSO d’Oracle Clouds.
Comme preuve supplémentaire qu’ils avaient accès aux serveurs Oracle Cloud, l’auteur de la menace a partagé cette URL avec Breachtrace , affichant une URL d’archive Internet qui indique qu’ils ont téléchargé un.fichier txt contenant leur adresse e-mail ProtonMail au login.us2.oraclecloud.com serveur.
Breachtrace a de nouveau contacté Oracle pour expliquer comment l’auteur de la menace avait téléchargé un fichier texte contenant son adresse e-mail sans avoir accès aux serveurs Oracle Cloud.
Violation présumée des données Oracle
rose87168 vend maintenant les données prétendument volées du service SSO d’Oracle Cloud pour un prix non divulgué ou en échange d’exploits zero-day sur le forum de piratage BreachForums.
Ils disent que les données (y compris les mots de passe SSO cryptés, les fichiers Java Keystore (JKS), les fichiers de clés et les clés JPS Enterprise Manager) ont été volées après avoir piraté la connexion.(nom de la région).oraclecloud. avec les serveurs Oracle.
« Les mots de passe SSO sont cryptés, ils peuvent être décryptés avec les fichiers disponibles. de plus, le mot de passe haché LDAP peut être piraté », explique rose87168. « Je vais énumérer les domaines de toutes les entreprises dans cette fuite. Les entreprises peuvent payer un montant spécifique pour supprimer les informations de leurs employés de la liste avant qu’elles ne soient vendues. »
Ils ont également proposé de partager certaines des données avec toute personne pouvant aider à déchiffrer les mots de passe SSO ou à déchiffrer les mots de passe LDAP.
L’auteur de la menace a déclaré à Breachtrace qu’ils avaient eu accès aux serveurs Oracle Cloud il y a environ 40 jours et prétendaient envoyer un e-mail à l’entreprise après avoir exfiltré des données des régions cloud US2 et EM2.
Dans l’échange de courriels, rose87168 a déclaré avoir demandé à Oracle de payer 100 000 XMR pour obtenir des informations sur la manière dont ils avaient violé les serveurs, mais la société aurait refusé de payer après avoir demandé « toutes les informations nécessaires pour le correctif et le correctif
Lorsqu’on lui a demandé comment ils avaient violé les serveurs, l’auteur de la menace a déclaré que tous les serveurs Oracle Cloud utilisent une version vulnérable avec un CVE public (faille) qui n’a actuellement pas de PoC public ou d’exploit. Breachtrace n’a pas pu vérifier de manière indépendante si c’est le cas.
Breachtrace a contacté diverses entreprises dont les données auraient été volées pour confirmer leur validité. Nous mettrons à jour cet article si nous avons des nouvelles.