Oracle, tehdit aktörü rose87168 tarafından ortaya atılan veri sızıntısı iddialarını yalanladı. Şirket, bu kişiye ait metin dosyalarının Oracle Cloud ile bağlantılı olmadığını belirtti. Oracle yetkilileri, “Oracle Cloud’a yönelik herhangi bir ihlal söz konusu değildir. Yayınlanan kimlik bilgileri Oracle Cloud’a ait değildir. Oracle Cloud müşterilerinin verileri güvendedir” açıklamasını yaptı.
Hackerlar, Oracle Cloud Sunucularına Eriştiğini İddia Edildi
Saldırgan, Oracle Cloud’un tek oturum açma (SSO) platformundan veri sızdırdığını öne sürdü. Paylaşılan dosyalarda bir veritabanı örneği, LDAP bilgileri ve etkilendiği iddia edilen şirketlerin listesi yer aldı. Ayrıca, bir internet arşiv bağlantısı üzerinden Oracle Cloud sunucularına bir .txt dosyası yüklediğini iddia etti.
BleepingComputer, Oracle’a bu dosyanın nasıl yüklendiğini sordu ancak şirketten bu konuda ek bir açıklama gelmedi. Tehdit aktörü, ele geçirdiğini öne sürdüğü verileri BreachForums adlı hacker forumunda satışa sundu. İddialara göre, çalınan veriler arasında şifrelenmiş SSO parolaları, Java Keystore (JKS) dosyaları, anahtar dosyaları ve kurumsal yönetim JPS anahtarları yer alıyor. Saldırgan, şifrelenmiş parolaların mevcut dosyalarla çözülebileceğini savunuyor.
Saldırgan ayrıca, belirli bir ücret karşılığında şirketlerin kendi çalışanlarına ait bilgileri satış listesinden çıkartabileceğini öne sürdü. Şifrelerin kırılmasına yardımcı olacak kişilerle verilerin bir kısmını paylaşacağını da açıkladı.
Tehdit aktörü, Oracle Cloud sunucularına 40 gün önce erişim sağladığını ve ABD merkezli US2 ve EM2 bulut bölgelerinden veri çektiğini iddia etti. Saldırgan, Oracle’a bir e-posta göndererek, sistem açığını nasıl kullandığını anlatması karşılığında 100.000 XMR (Monero) ödeme talep ettiğini ancak Oracle’ın bu teklifi reddettiğini ileri sürdü.
Araştırmalara göre saldırganın kullandığını öne sürdüğü güvenlik açığının kamuya açık bir CVE (Güvenlik Açığı Tanımlama Numarası) ile ilişkili olduğunu belirtti. Ancak, saldırının gerçekliği bağımsız olarak doğrulanamadı.
