在一名威胁行为者声称从Oracle Cloud的联合SSO(单点登录)登录服务器中窃取了600万条数据记录并将其出售后,Oracle公开回应否认其系统遭到入侵。
“Oracle Cloud并未发生任何数据泄露。网上流传的凭证并不属于Oracle Cloud,也没有任何Oracle Cloud客户的数据被泄露或系统被入侵。”Oracle在回复BleepingComputer的声明中表示。
此前,一名代号为rose87168的威胁行为者于昨日发布了多个文本文件,内容包括一份数据库样本、LDAP信息以及据称从Oracle Cloud SSO平台中获取的企业列表。
为了进一步佐证其对Oracle Cloud服务器的访问权限,该攻击者还向BleepingComputer提供了一个来自Internet Archive(互联网档案馆)的链接,显示他们曾在login.us2.oraclecloud.com服务器上上传了一个包含其ProtonMail邮箱地址的.txt文件。
对此,BleepingComputer再次联系Oracle,请求解释攻击者在未获得服务器访问权限的前提下,是如何上传该文本文件的。
据称正在出售的 Oracle Cloud 被盗数据
据其声称,被泄露的数据包括加密的SSO密码、Java Keystore(JKS)文件、密钥文件以及企业管理平台的JPS密钥,这些数据是通过攻击login.(region-name).oraclecloud.com域下的Oracle服务器获取的。
“虽然SSO密码是加密的,但可以通过现有文件进行解密,LDAP哈希密码也可以被破解。”rose87168表示,“我会列出此次泄露涉及的所有企业域名,相关企业可以支付指定费用,将其员工信息从数据包中删除,防止信息被出售。”他还表示,愿意与能够协助解密SSO密码或破解LDAP密码的人员共享部分数据。
该攻击者对BleepingComputer称,其大约在40天前便已获得Oracle Cloud服务器访问权限,并自称在从US2和EM2区域云服务器中成功窃取数据后,通过电子邮件联系了Oracle。
邮件内容显示,rose87168曾向Oracle索要10万门罗币(XMR),以换取他们的入侵路径和修复建议,但据称Oracle在要求其提供“所有可用于修复和补丁的信息”后,拒绝支付赎金。
当被问及是如何入侵服务器时,该攻击者表示所有Oracle Cloud服务器都在运行一个已公开存在漏洞(CVE编号)但目前尚无公开PoC(概念验证代码)或利用工具的版本。BleepingComputer目前无法独立验证该说法的真实性。
BleepingComputer也已联系多家被列为数据泄露受害者的公司,以核实数据真伪。
原文始发于微信公众号(solar应急响应团队):【文章转载】黑客勒索约1.58亿人民币(10万 XMR),声称窃取Oracle数据,官方紧急否认数据泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论