Хакери стверджують, що викрали 6 млн записів із федеративних SSO-логін-серверів Oracle Cloud. Представники компанії заперечують факт злому і заявили, що клієнти не постраждали.

Зловмисник під ніком rose87168 опублікував на хакерському форумі BreachForums дані, нібито викрадені з Oracle Cloud. Хакер пише, що готовий продати дані або обміняти їх на 0-day експлоїти.

Свої заяви rose87168 підтвердив, опублікувавши кілька текстових файлів зі зразками даних із БД, інформацію LDAP і список компаній, які нібито постраждали внаслідок витоку.

За словами хакера, дані були вкрадені під час злому серверів login.(назва-регіону).oraclecloud.com і включають зашифровані паролі SSO, файли Java Keystore (JKS), файли ключів і ключі JPS для менеджера підприємства.

Як додатковий доказ доступу до серверів Oracle Cloud, зловмисник надав виданню Bleeping Computer це посилання на Internet Archive, яке показує, що rose87168 завантажив текстовий файл з адресою електронної пошти ProtonMail на сервер login.us2.oraclecloud.com.

«Паролі SSO зашифровані, їх можна розшифрувати за допомогою наявних файлів. Також можна зламати хешований пароль LDAP, – заявляє rose87168. – Я перерахую домени всіх компаній, які потрапили в цей витік. Компанії можуть заплатити певну суму, щоб видалити інформацію про своїх співробітників зі списку, перш ніж дані будуть продані».

Також хакер запропонував поділитися частиною інформації з тими, хто допоможе йому розшифрувати паролі SSO або зламати паролі LDAP.

Rose87168 повідомив журналістам, що отримав доступ до серверів Oracle Cloud близько 40 днів тому і нібито відправив компанії електронного листа після вилучення даних із хмарних регіонів US2 і EM2. У листі він зажадав у Oracle викуп у розмірі 100 000 XMR, а в обмін обіцяв розповісти, як саме скомпрометував сервери. Однак компанія нібито відмовилася платити, запросивши у хакера «всю інформацію, необхідну для виправлення вразливості та випуску патча».

У бесіді з журналістами rose87168 пояснив, що всі сервери Oracle Cloud вразливі перед якоюсь проблемою з публічним ідентифікатором CVE, але для цієї вразливості поки що немає публічно доступного PoC або готового експлоїта.

Своєю чергою, представники Oracle і заявили Bleeping Computer, що ніякого злому не було.

«Злому Oracle Cloud не було. Опубліковані облікові дані не пов’язані з Oracle Cloud. Жоден із клієнтів Oracle Cloud не постраждав від кібератаки або витоку даних», – стверджують у компанії.