Khách hàng Oracle xác nhận dữ liệu đã bị rò rỉ do vụ xâm phạm đám mây

 (bleepingcomputer.com)
2 điểm bởi GN⁺ 2025-03-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Oracle đã phủ nhận việc máy chủ đăng nhập SSO của Oracle Cloud bị xâm phạm và 6 triệu dữ liệu tài khoản bị đánh cắp, nhưng qua việc xác minh với nhiều công ty, mẫu dữ liệu do tác nhân đe dọa chia sẻ đã được xác nhận là hợp lệ
  • Một người có tên 'rose87168' tuyên bố đã xâm nhập máy chủ Oracle Cloud và bắt đầu rao bán dữ liệu xác thực cùng mật khẩu đã mã hóa của 6 triệu người dùng. Tác nhân đe dọa này nói rằng có thể giải mã các mật khẩu SSO và LDAP bị đánh cắp, đồng thời đề nghị chia sẻ dữ liệu cho người có thể hỗ trợ khôi phục chúng.
  • Tác nhân đe dọa đã công bố nhiều tệp văn bản chứa cơ sở dữ liệu, dữ liệu LDAP và danh sách 140.621 tên miền của các công ty và cơ quan chính phủ được cho là bị ảnh hưởng bởi vụ xâm phạm. Một số tên miền công ty có vẻ là dùng để thử nghiệm, và mỗi công ty có nhiều tên miền.
  • Tác nhân đe dọa đã chia sẻ với BleepingComputer URL Archive.org của một tệp văn bản được lưu trữ trên máy chủ login.us2.oraclecloud.com. Tệp này cho thấy tác nhân đe dọa có thể tạo tệp trên máy chủ Oracle, qua đó gợi ý đã có xâm phạm thực sự.
  • Tuy nhiên, Oracle phủ nhận rằng Oracle Cloud đã bị xâm phạm và không trả lời các câu hỏi tiếp theo về sự việc. Oracle nói với BleepingComputer rằng: "Không có vụ xâm phạm nào đối với Oracle Cloud. Các thông tin đăng nhập được công bố không thuộc về Oracle Cloud. Khách hàng Oracle Cloud không gặp phải xâm phạm hay mất mát dữ liệu nào."
  • Lời phủ nhận này mâu thuẫn với các phát hiện của BleepingComputer. BleepingComputer đã nhận thêm mẫu từ tác nhân đe dọa và liên hệ với các công ty liên quan để xác minh tính xác thực của dữ liệu. Đại diện các công ty xác nhận dữ liệu với điều kiện giấu tên cho biết thông tin nhận dạng như tên hiển thị LDAP, địa chỉ email và tên đều chính xác và thuộc về họ.
  • Tác nhân đe dọa đã chia sẻ với BleepingComputer nội dung trao đổi email với Oracle. Trong một email, tác nhân đe dọa đã báo cáo việc máy chủ bị hack tới email bảo mật của Oracle (secalert_us@oracle.com).
  • Trong một chuỗi email khác, tác nhân đe dọa chia sẻ cuộc trò chuyện với một người dùng địa chỉ email @proton.me của Oracle. BleepingComputer không thể xác minh danh tính của địa chỉ email này hay tính xác thực của chuỗi email, nên đã xóa địa chỉ đó.
  • Công ty an ninh mạng Cloudsek đã phát hiện một URL trên Archive.org cho thấy máy chủ login.us2.oraclecloud.com đang chạy Oracle Fusion Middleware 11g tính đến ngày 17/2/2025. Oracle đã đưa máy chủ này offline sau khi tin tức về vụ xâm phạm được đăng tải.
  • Phiên bản phần mềm này bị ảnh hưởng bởi lỗ hổng được theo dõi dưới mã CVE-2021-35587, có thể cho phép kẻ tấn công chưa xác thực xâm phạm Oracle Access Manager. Tác nhân đe dọa tuyên bố lỗ hổng này đã được sử dụng để xâm nhập máy chủ Oracle.
  • BleepingComputer đã nhiều lần gửi email cho Oracle về thông tin này nhưng không nhận được phản hồi.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-03-28
Ý kiến trên Hacker News
  • BleepingComputer đã xác nhận với nhiều công ty rằng các mẫu dữ liệu do tác nhân đe dọa chia sẻ là hợp lệ
  • rose87168 đã chia sẻ với BleepingComputer một URL của Archive.org, trong đó có một tệp văn bản được lưu trữ trên máy chủ login.us2.oraclecloud.com. Tệp này cho thấy tác nhân đe dọa có thể tạo tệp trên máy chủ Oracle, qua đó gợi ý đã có xâm phạm thực sự
  • Oracle lẽ ra phải thừa nhận tính xác thực ngay từ đầu
  • Hầu như không có hình phạt thực chất nào cho một vụ xâm phạm, và việc nói dối có thể gây đòn PR tệ hơn cả bản thân vụ xâm phạm
  • Chỉ riêng việc Oracle lưu trữ cổng đăng nhập trên một sản phẩm có lỗ hổng đã được biết đến từ năm 2021 cũng đã khá đáng lo
  • Việc Oracle phủ nhận vụ xâm phạm bất chấp bằng chứng rõ ràng là điều rất điển hình
  • Tôi tò mò về nhóm khách hàng đang dùng các sản phẩm đám mây của Oracle; những câu chuyện về họ gợi ý nỗi đau dài hạn
  • Sự việc này không giúp tăng niềm tin vào sản phẩm của họ
  • Nếu từng vận hành Oracle, bạn sẽ hiểu vì sao nó chưa được vá. Họ không làm mọi thứ dễ dàng
  • Tác nhân đe dọa tuyên bố đã nhận được một tin nhắn từ người dùng địa chỉ email @proton.me của Oracle với nội dung: "Tôi đã nhận email của bạn. Từ giờ hãy dùng email này. Nhận được thì báo tôi nhé."
  • Email là một trong những nguồn mà phần lớn công ty đại chúng phải lưu trữ trong một khoảng thời gian nhất định (7 năm?). Có lẽ đây là cách để né tránh việc lưu hồ sơ
  • Các vụ rò rỉ dữ liệu đáng tiếc là thường không ảnh hưởng đến giá cổ phiếu. Những công ty đang dùng sản phẩm Oracle khó có khả năng chuyển đi ngay lập tức
  • Doanh số trong tương lai có thể bị ảnh hưởng, và một số công ty nhỏ có thể chuyển đi. Tuy nhiên Oracle sẽ tìm cách giảm nhẹ chuyện này tối đa
  • "Phủ nhận. Trì hoãn. Phòng thủ." không chỉ là khẩu hiệu của ngành bảo hiểm y tế
  • Tôi tự hỏi liệu dữ liệu khách hàng của Oracle Opera Cloud và Oracle NetSuite Cloud cũng bị đánh cắp hay không. Rất nhiều khách sạn trên toàn thế giới dùng Opera + NetSuite
  • Tôi từng làm ở một trong 3 nhà môi giới bảo hiểm hàng đầu cách đây 10 năm khi các gói bảo hiểm "cyber" được đưa vào. Tôi tò mò ai là bên bảo lãnh hợp đồng của Oracle và tổng thiệt hại trong tháp bảo hiểm đó là bao nhiêu. Hay là họ không có hợp đồng? Hy vọng D&O có thể chi trả cho các vụ kiện của cổ đông. Với quan hệ thân cận với chính quyền, vẫn có dư địa để diễn giải quy định
  • Tyler Technologies đã đổ lỗi cho Judyrecords.com về việc làm lộ các vụ án niêm phong ở California, và tuyên bố đó là một vụ vi phạm bảo mật do hệ thống làm rối dữ liệu tệ hại của họ. Né tránh trách nhiệm
  • Quy tắc số 1 của một vụ xâm phạm là không viết từ "xâm phạm" trong email. Vì vậy tôi đoán họ đã thảo luận bên ngoài tên miền của họ
  • Tôi tự hỏi Oracle đã phủ nhận chuyện này trong bao lâu. 3 ngày à?
  • Larry và Trump có quan hệ gần gũi. Oracle sẽ (hoặc nên) sa thải CISO của OCI và SaaS