Tin tặc tuyên bố đánh cắp 6 triệu bản ghi dữ liệu từ Oracle

Oracle phủ nhận việc bị vi phạm sau khi một tin tặc tuyên bố đã bán 6 triệu bản ghi dữ liệu được cho là  đánh cắp từ máy chủ đăng nhập SSO liên kết Oracle Cloud của công ty.

Chia sẻ với giới truyền thông, đại diện Oracle cho biết, không có vi phạm nào đối với Oracle Cloud. Thông tin đăng nhập được công bố không dành cho Oracle Cloud. Không có khách hàng Oracle Cloud nào gặp phải vi phạm hoặc mất bất kỳ dữ liệu nào.

Tuyên bố này được đưa khi mới đây một tác nhân đe dọa có tên là rose87168 đã phát hành nhiều tệp văn bản vào có chứa cơ sở dữ liệu mẫu, thông tin LDAP (hay Lightweight Directory Access Protocol là một giao thức ứng dụng truy cập các cấu trúc thư mục) và danh sách các công ty mà tin tặc này tuyên bố đã đánh cắp khỏi nền tảng SSO của Oracle Cloud.

Để chứng minh thêm về việc đã truy cập vào máy chủ Oracle Cloud, tác nhân đe dọa đã chia sẻ URL này với giới truyền thông, hiển thị URL Lưu trữ Internet cho biết họ đã tải tệp .txt chứa địa chỉ email ProtonMail của họ lên máy chủ login.us2.oraclecloud.com.

Các chuyên gia đã liên hệ lại với Oracle để thông báo cách tác nhân đe dọa tải tệp văn bản chứa địa chỉ email của họ mà không cần truy cập vào máy chủ Oracle Cloud.

Vụ vi phạm dữ liệu Oracle bị cáo buộc

rose87168 hiện đang bán dữ liệu đánh cắp được từ dịch vụ SSO của Oracle Cloud với mức giá không được tiết lộ hoặc để đổi lấy các khai thác lỗ hổng zero-day trên diễn đàn hack BreachForums.

Tin tặc này cho biết, dữ liệu (bao gồm mật khẩu SSO được mã hóa, tệp Java Keystore (JKS), tệp khóa và khóa JPS của trình quản lý doanh nghiệp) đã lấy được sau khi xâm nhập vào máy chủ Oracle 'login.(region-name).oraclecloud.com'.

"Mật khẩu SSO được mã hóa, chúng có thể được giải mã bằng các tệp có sẵn. Ngoài ra, mật khẩu LDAP cũng có thể bị bẻ khóa", rose87168 nói. "Tôi sẽ liệt kê tên miền của tất cả các công ty trong vụ rò rỉ này. Các công ty có thể trả một số tiền cụ thể để xóa thông tin của nhân viên khỏi danh sách trước khi bị bán".

rose87168 cũng đã đề nghị chia sẻ một số dữ liệu với bất kỳ ai có thể giúp giải mã mật khẩu SSO hoặc bẻ khóa mật khẩu LDAP.

Kẻ tấn công cho biết, đã truy cập được vào máy chủ Oracle Cloud khoảng 40 ngày trước và tuyên bố đã gửi email cho công ty sau khi đánh cắp dữ liệu từ các vùng đám mây US2 và EM2.

Trong cuộc trao đổi qua email, rose87168 cho biết, chúng đã yêu cầu Oracle trả 100.000 XMR (tiền điện tử) để lấy thông tin về cách chúng xâm phạm máy chủ, nhưng công ty bị cáo buộc đã từ chối trả tiền sau khi yêu cầu "tất cả thông tin cần thiết để sửa lỗi và vá lỗi

Khi được hỏi chúng xâm phạm máy chủ như thế nào, kẻ tấn công cho biết tất cả các máy chủ Oracle Cloud đều sử dụng phiên bản dễ bị tấn công với CVE (lỗi) công khai hiện không có bằng chứng hoặc khai thác công khai.

Giới chuyên môn đã liên hệ với nhiều công ty có dữ liệu bị cáo buộc bị đánh cắp để xác nhận xem dữ liệu đó có hợp lệ hay không, nhưng hiện chưa nhận được phản hồi.