Oracle’ın Reddettiği Veri Sızıntısı İddiası Şirketler Tarafından Doğrulandı
Oracle, bulut sunucularının hacklendiği ve 6 milyon kullanıcının hesap bilgilerinin çalındığı iddialarını reddetti. Ancak BleepingComputer’in yaptığı araştırmalar, tehdit aktörünün paylaştığı veri örneklerinin gerçek olduğunu ortaya koydu.
Şirketler Verilerin Doğruluğunu Onayladı
Geçtiğimiz hafta ‘rose87168’ adlı bir kişi, Oracle Cloud sunucularını hacklediğini ve 6 milyon kullanıcının kimlik doğrulama verileri ile şifrelenmiş parolalarını sattığını iddia etti. Saldırgan, çalınan SSO ve LDAP parolalarının ele geçirilen dosyalardaki bilgiler kullanılarak çözülebileceğini de öne sürdü.
Tehdit aktörü, veri tabanı bilgileri, LDAP verileri ve ihlalden etkilendiği iddia edilen 140.621 şirket ve devlet kurumunun domain listesini içeren çok sayıda metin dosyası yayınladı. Oracle bu iddiaları reddetse de, BleepingComputer’in iletişime geçtiği çok sayıda şirket verilerin doğruluğunu teyit etti.
Anonim kalmak şartıyla bilgi veren şirket temsilcileri, sızdırılan LDAP görünen adları, e-posta adresleri, kullanıcı isimleri ve diğer tanımlayıcı bilgilerin doğru olduğunu belirtti. Verilerin gerçekliği, Oracle’ın hiçbir ihlal yaşanmadı açıklamasıyla çelişiyor.
Tehdit aktörü, BleepingComputer ile Oracle arasında gerçekleştiğini iddia ettiği e-posta yazışmalarını da paylaştı. E-postalardan birinde saldırgan, Oracle’ın güvenlik e-posta adresine (secalert_us@oracle.com) sunucuları hacklediğini bildirdiğini gösteriyor.
Bir diğer e-posta dizisinde ise saldırganın, ProtonMail adresi kullanan ve Oracle çalışanı olduğunu iddia eden biriyle yazıştığı görülüyor. Oracle’ın bu e-posta adresini resmi olarak kullandığına dair bir kanıt bulunmuyor.
Siber güvenlik firması Cloudsek, “login.us2.oraclecloud.com” sunucusunun 17 Şubat 2025 itibarıyla Oracle Fusion Middleware 11g çalıştırdığını tespit etti. Bu yazılımın CVE-2021-35587 olarak kayıtlı bir güvenlik açığı bulunuyor ve saldırganların Oracle Access Manager’ı ele geçirmesine izin veriyor.
Saldırgan, Oracle sunucularının sözde ihlalinde bu güvenlik açığının kullanıldığını iddia etti. İddiaların gündeme gelmesinin ardından Oracle bu sunucuyu kapatırken, BleepingComputer’in sorularına yanıt vermedi.
