Oracle müşterileri, bulut ihlali nedeniyle verilerin sızdırıldığını doğruladı

 (bleepingcomputer.com)
2 puan yazan GN⁺ 2025-03-28 | 1 yorum | WhatsApp'ta paylaş
  • Oracle, Oracle Cloud'un SSO giriş sunucusunun ihlal edildiğini ve 6 milyon hesaba ait verinin çalındığını reddetti, ancak birden fazla şirketle yapılan doğrulamalar tehdit aktörünün paylaştığı veri örneklerinin geçerli olduğunu gösterdi.
  • 'rose87168' adlı kişi, Oracle Cloud sunucularını ihlal ettiğini iddia ederek 6 milyon kullanıcıya ait kimlik doğrulama verilerini ve şifrelenmiş parolaları satmaya başladı. Bu tehdit aktörü, çalınan SSO ve LDAP parolalarını çözebileceğini öne sürüyor ve bunları geri kazanmaya yardımcı olacak kişilerle verileri paylaşmayı teklif ediyor.
  • Tehdit aktörü; veritabanları, LDAP verileri ve ihlalden etkilendiği düşünülen şirketler ile kamu kurumlarına ait 140.621 alan adının listesini içeren çeşitli metin dosyaları yayımladı. Bazı şirket alan adları test amaçlı görünüyor ve şirket başına birden fazla alan adı bulunuyor.
  • Tehdit aktörü, BleepingComputer ile "login.us2.oraclecloud.com" sunucusunda barındırılan bir metin dosyasının Archive.org URL'sini paylaştı. Bu dosya, tehdit aktörünün Oracle sunucusunda dosya oluşturabildiğini gösteriyor ve gerçek bir ihlale işaret ediyor.
  • Ancak Oracle, Oracle Cloud'da bir ihlal yaşandığını reddediyor ve olayla ilgili ek sorulara yanıt vermiyor. Oracle, BleepingComputer'a "Oracle Cloud'da herhangi bir ihlal olmadı. Yayımlanan kimlik bilgileri Oracle Cloud'a ait değil. Oracle Cloud müşterileri bir ihlal ya da veri kaybı yaşamadı" dedi.
  • Bu ret, BleepingComputer'ın bulgularıyla çelişiyor. BleepingComputer, tehdit aktöründen ek örnekler aldı ve verilerin gerçekliğini doğrulamak için ilgili şirketlerle iletişime geçti. Verileri anonim kalmak koşuluyla doğrulayan şirket temsilcileri, LDAP görünen adları, e-posta adresleri, isimler gibi tanımlayıcı bilgilerin doğru olduğunu ve kendilerine ait olduğunu doğruladı.
  • Tehdit aktörü, Oracle ile yaptığı e-posta yazışmalarını BleepingComputer ile paylaştı. E-postalardan birinde tehdit aktörü, Oracle'ın güvenlik e-posta adresine (secalert_us@oracle.com) sunucunun hacklendiğini bildirdi.
  • Başka bir e-posta yazışmasında ise tehdit aktörü, Oracle'ın @proton.me e-posta adresini kullanan biriyle yaptığı konuşmayı paylaştı. BleepingComputer, bu e-posta adresinin kimliğini ya da yazışmanın gerçekliğini doğrulayamadığı için adresi kaldırdı.
  • Siber güvenlik şirketi Cloudsek, "login.us2.oraclecloud.com" sunucusunun 17 Şubat 2025 itibarıyla Oracle Fusion Middleware 11g çalıştırdığını gösteren bir Archive.org URL'si buldu. Oracle, ihlal haberleri çıktıktan sonra bu sunucuyu çevrimdışına aldı.
  • Bu yazılım sürümü, CVE-2021-35587 olarak izlenen bir güvenlik açığından etkileniyor ve kimliği doğrulanmamış bir saldırganın Oracle Access Manager'ı tehlikeye atmasına olanak tanıyor. Tehdit aktörü, Oracle sunucularının ihlalinde bu güvenlik açığının kullanıldığını iddia ediyor.
  • BleepingComputer bu bilgiler hakkında Oracle'a birden fazla kez e-posta gönderdi, ancak yanıt alamadı.

İlgili okumalar

1 yorum

 
GN⁺ 2025-03-28
Hacker News görüşleri
  • BleepingComputer'ın birkaç şirketle yaptığı doğrulamaya göre, tehdit aktörünün paylaştığı veri örnekleri geçerli
  • rose87168, BleepingComputer'a bir Archive.org URL'si paylaştı; bu URL, login.us2.oraclecloud.com sunucusunda barındırılan bir metin dosyası içeriyor. Bu dosya, tehdit aktörünün Oracle sunucusunda dosya oluşturabildiğini gösteriyor ve gerçek bir ihlale işaret ediyor
  • Oracle en başından beri geçerliliği kabul etmeliydi
  • İhlaller için fiilen bir ceza yok ve yalan söylemek, ihlalin kendisinden daha kötü bir PR darbesi yaratabiliyor
  • Oracle'ın 2021'de bilinen bir zafiyeti olan bir üründe giriş ağ geçidi barındırmış olması bile başlı başına oldukça rahatsız edici
  • Oracle'ın açık kanıtlara rağmen ihlali reddetmesi tipik bir durum
  • Oracle'ın bulut ürünlerini kullanan kullanıcı kitlesinin demografisini merak ediyorum; onlar hakkında anlatılanlar uzun vadeli bir acıya işaret ediyor
  • Bu olay, ürünlerine duyulan güveni artırmaya yardımcı olmuyor
  • Oracle'ı işlettiyseniz neden yama uygulanmadığını anlayabilirsiniz. İşleri kolaylaştırmıyorlar
  • Tehdit aktörü, Oracle'ın @proton.me e-posta adresini kullanan birinden "E-postanızı aldım. Bundan sonra bu e-postayı kullanalım. Alırsanız haber verin." mesajını aldığını iddia ediyor
  • E-posta, çoğu halka açık şirkette belli bir süre (7 yıl?) saklanması gereken kaynaklardan biridir. Muhtemelen kayıt bırakmaktan kaçınma girişimi
  • Veri ihlalleri ne yazık ki hisse fiyatını etkilemiyor. Oracle ürünlerini kullanan şirketlerin kısa vadede göç etmesi pek olası değil
  • Gelecekteki satışlar etkilenebilir ve bazı küçük şirketler taşınabilir. Ancak Oracle bunu mümkün olduğunca küçümseyecektir
  • "Reddet. Geciktir. Savun." sadece sağlık sigortasının sloganı değil
  • Oracle Opera Cloud ve Oracle NetSuite Cloud müşteri verilerinin de çalınıp çalınmadığını merak ediyorum. Dünyada birçok otel Opera + NetSuite kullanıyor
  • 10 yıl önce, ilk 3 sigorta brokerinden birinde "siber" poliçeler devreye alınırken çalışıyordum. Oracle'ın poliçesini kimin üstlendiğini ve o kulede ne kadar maliyet oluştuğunu merak ediyorum. Poliçe yok muydu? D&O'nun hissedar davalarını karşılayabilmesini umarım. Yönetimle yakın ilişkiler, kuralların yorumlanmasına alan bırakıyor
  • Tyler Technologies, California'da mühürlü bir davayı ifşa ettiği için Judyrecords.com'u suçladı ve hatalı karartma sistemi nedeniyle bunun bir güvenlik ihlali olduğunu iddia etti. Sorumluluktan kaçıyorlar
  • İhlal kurallarının birincisi, e-postada "ihlal" kelimesini kullanmamaktır. Bu yüzden kendi alan adlarının dışında tartıştıklarını tahmin ediyorum
  • Oracle'ın bunu ne kadar süre inkâr ettiğini merak ediyorum. 3 gün mü?
  • Larry ve Trump yakın ilişki içinde. Oracle, OCI ve SaaS CISO'larını kovacak (ya da kovmalı)