Durante a semana passada, foi publicada para venda uma base de dados, alegadamente de sistemas internos da Oracle. Esta base de dados foi publicada em alguns sites da dark web, por um utilizador conhecido apenas como “rose87168”.
Na mensagem, o vendedor indicava que a base de dados era, alegadamente, os sistemas da Oracle Cloud, e continua dados de aproximadamente 6 milhões de clientes, nomeadamente nomes de utilizador, emails e senhas encriptadas. A par com os dados que foram colocados para venda, foram ainda fornecidos vários samples da informação roubada, como forma de legitimar a mesma.
No entanto, apesar disso, a Oracle negou que os seus sistemas tenham sido atacados. Na mensagem original, a Oracle referiu não ter verificado – depois de uma investigação – qualquer ataque sobre os seus sistemas, além de ter indicado que não iria responder a novas questões sobre o incidente.
Esta negação iria contra os detalhes do leak de dados, tendo em conta que vários investigadores de segurança que analisaram os dados apontavam que, efetivamente, estes seriam válidos. Mas a empresa continuou a negar tal roubo de informações.
Alguns dos clientes afetados começaram a analisar os dados, e descobriram que, efetivamente, estes encontravam-se corretos. O vendedor original referiu ter obtido os dados depois de ter sido descoberta uma grave vulnerabilidade no painel de controlo da cloud usado pela plataforma, e que permitia o acesso a essa informação – falha que ainda não seria publicamente conhecida.
Segundo a empresa Cloudsek, que investigou o ataque, a falha aparenta ter sido explorada no sistema “login.us2.oraclecloud.com”, que usava o software Oracle Fusion Middleware 11g. Esta versão do software continha efetivamente uma falha que poderia ser explorada para ataques, e que poderia levar a comprometer o Oracle Access Manager.
O servidor foi entretanto desativado depois da empresa ter obtido conhecimento do roubo de dados, sem explicação concreta para tal. No entanto, os investigadores apontam que os dados podem ter sido recolhidos deste ponto de origem, e que a falha poderia ter sido explorada neste ponto.
Apesar da Oracle indicar que não foi alvo de ataques ou roubo de dados, a existência de provas de que os dados são verdadeiros e que podem ter sido obtidos por uma falha legitima no software da empresa, levanta algumas questões por parte dos clientes e investigadores sobre o não ter ocorrido roubo de dados.
A Oracle não forneceu informações adicionais sobre o ataque, tendo sido a negação do roubo de dados o seu último comunicado sobre o caso.
Nenhum comentário
Seja o primeiro!