Oracle-klanten na vermeende hack: “gelekte data is echt”
Alon Gal, CTO van cybersecuritybedrijf Hudson Rock, heeft 10.000 records ontvangen van de vermeende aanvaller ‘rose87168’, zo deelt hij op LinkedIn. Om de echtheid ervan te verifiëren, nam hij contact op met klanten die in de dataset voorkomen. Hij vroeg hen of de gebruikersaccounts kloppen, de tenant-ID’s overeenkomen en of het om test- of productieomgevingen gaat. Drie klanten hebben inmiddels bevestigd dat hun gegevens in de gelekte dataset staan. Een van hen gaf zelfs aan dat de gebruikers in de sample actief data hosten en toegang hebben tot gevoelige informatie. Dat spreekt eerdere speculaties tegen, want eerder werd beweerd dat het slechts om testomgevingen zou gaan.
Eerder ontdekte kwetsbaarheid bij Oracle
De aanvaller beweert een Remote Code Execution (RCE)-kwetsbaarheid te hebben misbruikt die eerder door CloudSEK werd gerapporteerd. Dit cybersecuritybedrijf meldde al op 21 maart dat Oracle gehackt was. Het bedrijf zelf bleef formeel ontkennen. Volgens CloudSEK werd het domein login.us2.oraclecloud.com gecompromitteerd, wat volgens hen een diepgaande impact zou hebben. De bevestiging van Hudson Rock-klanten lijkt deze conclusie nu te ondersteunen.
Wat betekent dit voor Oracle-klanten?
Dat de gelekte gegevens toegang geven tot productieomgevingen met gevoelige data, maakt de situatie ernstig. Oracle blijft ontkennen dat er een hack heeft plaatsgevonden, maar de bewijzen stapelen zich intussen op. Hudson Rock vraagt Oracle om volledige transparantie te bieden en maatregelen te nemen. Organisaties die gebruikmaken van Oracle Cloud doen er alleszins goed aan hun credentials te controleren en indien nodig te vernieuwen.
