Oracle ontkent getroffen te zijn door datalek
Oracle ontkent dat het getroffen is door een datalek. Een cybercrimineel claimde eind vorige week informatie te hebben buitgemaakt uit de public cloudomgeving van het Amerikaanse techbedrijf.
Een gebruiker genaamd 'rose87168' meldde eind vorige week op een cybercrime-forum toegang te hebben verkregen tot gevoelige informatie van Oracle. De gebruiker stelde dat onder meer zo'n 6 miljoen records van klanten in handen te hebben, waaronder securitysleutels, versleutelde wachtwoorden en Java Key Store-bestanden van klanten. De informatie zou zijn buitgemaakt door een kwetsbaarheid uit te buiten in een single sign-on loginserver van Oracle.
Oracle ontkent
Oracle ontkent dit; in een reactie aan The Register stelt het dat Oracle Cloud niet is getroffen door een datalek. Inloggegevens die de vermeende aanvaller deelde zouden daarnaast niet voor de Oracle Cloud zijn. Ook meldt Oracle dat haar klanten niet zijn getroffen door een datalek of dataverlies.
Opvallend is dat sommige externe beveiligingsexperts lijken te vermoeden dat de aanval wel degelijk heeft plaatsvonden. Zo vermoedt CloudSEK dat een loginserver van Oracle niet up-to-date was en daardoor kwetsbaar voor CVE-2021-35587, dat een kritieke kwetsbaarheid is in Oracle Access Manager van Oracle Fusion Middleware.
Bestaand aangemaakt op loginserver
Ook lijkt de aanvaller op een Oracle Cloud-loginserver een bestand te hebben aangemaakt om de authenticiteit van de aanval te bewijzen. In dit txt-bestand, dat via Internet Archive's Wayback Machine terug te vinden is, staat het e-mailadres van rose87168 vermeld.
rose87168 biedt op het forum de vermeende gestolen data te koop aan. Ook vraagt de aanvaller daarbij hulp aan andere cybercriminelen om de versleutelde wachtwoorden te kraken, in ruil voor een deel van de data.
Meer over Oracle
Over Wouter Hoeffnagel
