L’azienda resta in silenzio dopo aver negato l’attacco, nonostante le conclusioni degli esperti sulla veridicità della violazione
In contesto: È triste accettarlo, ma le violazioni dei dati sono diventate una realtà quotidiana. Non passa un mese senza che qualche azienda annunci che, a causa di una cattiva gestione della sicurezza o di un attacco hacker, i dati dei suoi clienti sono stati compromessi. È frustrante, e lo è ancora di più quando l’azienda tenta di occultare l’incidente.
All’inizio del mese, un cybercriminale conosciuto come Rose87168 ha affermato di aver violato i server SSO federati di Oracle Cloud e di aver sottratto circa 6 milioni di record, impattando oltre 144.000 clienti Oracle. Il pirata informatico ha fornito un elenco di clienti interni e ha minacciato di vendere i dati a meno che i clienti non pagassero per rimuovere i loro dati dal database, che includeva credenziali di accesso unico, password del Protocollo di Accesso alla Directory Leggera, chiavi OAuth2, dati degli affittuari e altro. Rose87168 ha anche cercato aiuto nella comunità hacker per decifrare le password criptate in cambio di parte dei dati.
Un giorno dopo che l’attore minaccioso ha postato un piccolo campione dei dati, Oracle ha comunicato a Bleeping Computer che non c’era stata alcuna violazione del suo servizio cloud. Dopo la negazione di Oracle, Rose87168 ha iniziato a divulgare “prove” ai media e agli esperti di sicurezza. Il gruppo di sicurezza Hudson Rock e gli esperti di CloudSEK hanno concluso che i dati e le credenziali sono autentici.
CloudSEK ha dichiarato che l’hacker sembra aver sfruttato una vulnerabilità zero-day (CVE-2021-35587) in un software di gestione degli accessi legato a Oracle Fusion Middleware per violare i sistemi di Oracle Cloud senza autenticazione.
“È incredibile che Oracle abbia negato questa fuga di notizie, che è stata verificata indipendentemente da molte aziende di cybersecurity,” ha postato su LinkedIn Alon Gal, CTO di Hudson Rock, lunedì.
Trustwave SpiderLabs ha anche esaminato le prove e concluso che i dati provenivano effettivamente dai server di Oracle Cloud.
“Il set di dati descritto dagli header forniti rappresenta una directory utente altamente dettagliata e sensibile, probabilmente estratta da un sistema di gestione delle identità e degli accessi aziendale o una directory integrata con le risorse umane come Microsoft Active Directory, Oracle Identity Manager o una piattaforma simile,” ha letto l’avviso di sicurezza di Trustwave.
La società di sicurezza ha anche confermato che la cache includeva informazioni personali identificabili come nomi e cognomi, nomi completi visualizzati, indirizzi email, titoli di lavoro, numeri di dipartimento, numeri di telefono, numeri di cellulare e persino dettagli di contatto domestici. Il pirata informatico ha anche caricato una registrazione di una riunione interna di Oracle.
“Tali dati in formato divulgato rappresentano gravi rischi di cybersecurity e operativi per l’organizzazione colpita,” ha aggiunto Trustwave.
Inoltre, lo specialista di cybersecurity Kevin Beaumont ha notato che Oracle ha “ribattezzato” i servizi legacy di Oracle Cloud come “Oracle Classic.” Egli sostiene che la scelta accurata delle parole nella risposta dell’azienda sia una negazione tecnicamente precisa ma fuorviante. L’azienda sembra cercare di presentare l’incidente come insignificante o come se non avesse divulgato record attuali di Oracle Cloud. Per riferimento, ecco la dichiarazione di Oracle a Bleeping Computer:
“Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non sono per Oracle Cloud. Nessun cliente di Oracle Cloud ha subito violazioni o perdite di dati.”
Beaumont ha trovato l’uso ripetitivo di “Oracle Cloud” sospetto, come se potesse preparare Oracle Classic a prendersi la colpa. Tuttavia, indipendentemente dall’età dei server violati, CloudSEK ha confermato tramite alcuni dei suoi clienti che i dati erano accurati e attuali. Questa conclusione smentisce qualsiasi nozione che la violazione fosse insignificante o contenesse informazioni datate.
Nonostante molteplici ricercatori abbiano segnalato che la violazione dei dati è estremamente preoccupante, Oracle è rimasta in silenzio da quando ha negato l’attacco. Beaumont afferma che il silenzio dell’azienda è irresponsabile. Allo stesso modo, Gal ha definito la mancanza di trasparenza e di guida da parte di Oracle “folle.” In assenza di consigli dall’azienda, Gal ha indirizzato i clienti colpiti alle raccomandazioni di mitigazione di CloudSEK per minimizzare i potenziali danni derivanti dalla fuga di notizie.
Messaggi simili:
- Allarme Privacy: iPhone Condivide le Tue Foto con Apple per Riconoscere Monumenti!
- Sviluppatore rischia 10 anni di carcere per kill switch nella rete del vecchio datore di lavoro
- Scandalo PowerSchool: Rubati Oltre 70 Milioni di Record in Enorme Violazione dei Dati Educativi
- Attenzione: Il fondatore di TechCrunch avverte che l’hack di Coinbase potrebbe essere letale!
- Patrimonio di Larry Ellison: Come è Diventato uno degli Uomini più Ricchi del Mondo?
Nicola Costanzo esplora il mondo della tecnologia e dell’innovazione. I suoi articoli illuminano le sfide digitali che plasmano il nostro futuro.