Torsdag aften hævdede en hacker med aliaset "rose87168" at have brudt ind i Oracles cloud-infrastruktur og fået adgang til omfattende mængder af følsomme oplysninger.
Angrebet skulle angiveligt have ramt Oracles servere i både Chicago og Amsterdam, hvor hackeren påstår at have eksfiltreret data om 140.000 Oracle Cloud-kunder.
Blandt de stjålne oplysninger nævnes Java Key Store-filer, krypterede SSO-adgangskoder og Enterprise Manager JPS-nøgler, som potentielt kan bruges til at få uautoriseret adgang til systemer og brugerkonti, skriver Bleeping Computer.
Hackerens påstande ledsages af skærmbilleder og anden dokumentation, der angiveligt viser et brud på Oracles loginservere.
Samtidig er dele af de stjålne oplysninger blevet sat til salg på fora på dark web.
Oracle: Ingen data er kompromitteret
Oracle afviser dog, at der skulle være tale om et databrud.
I en officiel udtalelse til mediet fastslår virksomheden, at "de offentliggjorte oplysninger ikke stammer fra Oracle Cloud. Ingen Oracle Cloud-kunder har været udsat for et databrud eller mistet data."
Trods Oracles afvisning spekulerer sikkerhedseksperter i, om serverne i Chicago og Amsterdam kan have været sårbare over for en kendt fejl i Oracle Access Manager (CVE-2021-35587), der kan give hackere mulighed for at omgå autentifikationsmekanismer, lyder det.
Ifølge oplysninger fra cybersikkerhedsfirmaet CloudSEK forsøgte hackeren først at afpresse Oracle for 200 millioner dollar i kryptovaluta mod at holde oplysningerne hemmelige.
Da Oracle afviste at betale – blandt andet fordi det er ulovligt for amerikanske virksomheder at forhandle med cyberkriminelle – satte hackeren oplysningerne til salg.
Hackeren hævder desuden at ville offentliggøre en liste over de virksomheder, der angiveligt er berørt af bruddet, som et presmiddel for at få betaling fra de berørte virksomheder.
Usikkerhed om omfanget af angrebet
Selvom det stadig er uvist, om hackerens påstande er sande, opfordrer eksperter organisationer med Oracle Cloud-løsninger til at tage deres forholdsregler.
De anbefaler blandt andet, at virksomheder hurtigst muligt nulstiller deres adgangsoplysninger, styrker deres sikkerhedsforanstaltninger og gennemgår systemlogs for tegn på uautoriseret adgang.
