Het is onrustig rondom Oracle. Afgelopen week doken twee datalekken op. Het bedrijf ontkent er één van, maar onafhankelijke onderzoekers bevestigen de feiten.
Een aanvaller claimde op 20 maart toegang te hebben verkregen tot inlogsystemen van Oracle Cloud-klanten. Hierbij zouden zes miljoen records zijn gestolen, waaronder gecodeerde single-sign-on (SSO) wachtwoorden en beveiligingscertificaten.
Oracle meldde eerder in een reactie aan The Register dat Oracle Cloud niet is getroffen door een datalek. Inloggegevens die de vermeende aanvaller heeft gedeeld zijn volgens het bedrijf niet voor de Oracle Cloud. Ook meldt Oracle dat haar klanten niet zijn getroffen door een datalek of dataverlies.
‘Gelekte data zijn wel degelijk authentiek’
Maar diverse beveiligingsbedrijven waaronder Hudson Rock stellen dat het lek wel degelijk heeft plaatsgevonden. Volgens Alon Gal, medeoprichter en CTO van Hudson Rock onderzocht zijn bedrijf een staal van de gegevens en trof daarbij informatie van diverse van zijn klanten aan. Die klanten bevestigden dat de data authentiek is.
Ook CloudSEK analyseerde het lek en meldt eveneens dat de door de aanvaller gedeelde gegevens authentiek zijn. CloudSEK stelt dat een SSO-dienst van Oracle is getroffen, waarbij gebruik is gemaakt van CVE-2021-35587. Dit is een ouder lek in Oracle Access Manager, waarvoor sinds begin 2022 een patch beschikbaar is.
Lek bij Oracle Health
Daarnaast informeerde Oracle Health klanten via een brief over een potentieel datalek, waarbij mogelijk klantgegevens zijn gestolen. Bleeping Computer zag een brief van Oracle Health in, waarin het stelt dat een oude server die nog niet was gemigreerd naar Oracle Cloud is getroffen door een lek. Bloomberg meldt dat de FBI onderzoek doet naar dit lek, waarbij de aanvallers mogelijk losgeld eisen.
Alon Gal, co-founder en CTO van Hudson Rock, zet vraagtekens bij de werkwijze van Oracle. ‘Zonder een woord van Oracle tot nu toe (waar zijn de Cybersecurity and Infrastructure Security Agency, de Security Exchange Commission en de Federal Trade Commission om hierop aan te dringen?), geeft Rose87168 aan dat ze overgaan naar een nieuwe fase, mogelijk door de gegevens te verkopen of te lekken. Het is vrij gek dat Oracle deze lekkage ontkent, terwijl deze onafhankelijk door veel cybersecuritybedrijven is geverifieerd’, aldus Gal.
