La società di cybersecurity CloudSEK ha rilevato un presunto tentativo di vendita di sei milioni di record estratti da Oracle Cloud da parte di un attore malevolo noto come ‘rose87168’. I dati compromessi includerebbero file Java KeyStore (JKS), password crittografate per il Single Sign-On (SSO), file chiave e chiavi JPS del gestore aziendale.
CloudSEK ha ipotizzato che una vulnerabilità non divulgata nel dominio login.(nome-regione).oraclecloud.com possa aver permesso l’accesso non autorizzato, portando alla presunta violazione dei dati. Tuttavia, Oracle ha negato tali affermazioni in una dichiarazione rilasciata a Dark Reading.
In risposta alla smentita di Oracle, CloudSEK ha fornito ulteriori dettagli a supporto della propria teoria. La società ha sottolineato l’importanza della trasparenza e della validazione basata su prove, affermando di voler pubblicare più informazioni per aiutare la comunità e Oracle a indagare meglio sull’incidente.
Secondo CloudSEK, l’attore malevolo ha condiviso un campione di 10.000 righe contenenti dettagli dei clienti e prove dell’attacco, inclusa la creazione di un file su ‘login.us2.oraclecloud.com’ con l’email dell’attaccante all’interno del testo. L’analisi ha confermato che i dati campione appartenevano a clienti reali di Oracle Cloud e che il dominio in questione era un ambiente SSO di produzione.
Alcuni ricercatori indipendenti di sicurezza hanno raggiunto conclusioni simili. CloudSEK ha avvertito che la presunta violazione potrebbe interessare oltre 1.500 organizzazioni, aumentando il rischio di accessi non autorizzati, spionaggio aziendale e danni finanziari e reputazionali. La società, insieme ad altri esperti di sicurezza, continua a monitorare la situazione e sollecita Oracle a fornire maggiori dettagli sull’accaduto