Pelanggan Oracle mengonfirmasi data memang bocor akibat dugaan pelanggaran cloud

 (bleepingcomputer.com)
2 poin oleh GN⁺ 2025-03-28 | 1 komentar | Bagikan ke WhatsApp
  • Oracle membantah adanya pelanggaran pada server login SSO Oracle Cloud dan pencurian data akun 6 juta pengguna, tetapi melalui verifikasi dengan sejumlah perusahaan, terkonfirmasi bahwa sampel data yang dibagikan pelaku ancaman itu valid
  • Seseorang bernama 'rose87168' mengklaim telah membobol server Oracle Cloud dan mulai menjual data autentikasi serta kata sandi terenkripsi milik 6 juta pengguna. Pelaku ancaman ini mengklaim dapat mendekripsi kata sandi SSO dan LDAP yang dicuri, serta menawarkan untuk membagikan data tersebut kepada siapa pun yang bisa membantu memulihkannya.
  • Pelaku ancaman merilis beberapa file teks yang berisi database, data LDAP, serta daftar 140.621 domain milik perusahaan dan lembaga pemerintah yang diperkirakan terdampak oleh pelanggaran tersebut. Sebagian domain perusahaan tampak digunakan untuk pengujian, dan ada beberapa domain untuk tiap perusahaan.
  • Pelaku ancaman membagikan URL Archive.org dari file teks yang di-host di server "login.us2.oraclecloud.com" kepada BleepingComputer. File ini menunjukkan bahwa pelaku ancaman dapat membuat file di server Oracle, yang mengindikasikan adanya pelanggaran nyata.
  • Namun, Oracle membantah bahwa Oracle Cloud telah diretas dan tidak menjawab pertanyaan lanjutan tentang insiden tersebut. Oracle mengatakan kepada BleepingComputer, "Tidak ada pelanggaran pada Oracle Cloud. Kredensial yang dipublikasikan bukan milik Oracle Cloud. Tidak ada pelanggan Oracle Cloud yang mengalami pelanggaran ataupun kehilangan data."
  • Bantahan ini bertentangan dengan temuan BleepingComputer. BleepingComputer menerima sampel tambahan dari pelaku ancaman dan menghubungi perusahaan-perusahaan terkait untuk memverifikasi keaslian data. Perwakilan perusahaan yang memverifikasi data dengan syarat anonim mengonfirmasi bahwa informasi identitas seperti nama tampilan LDAP, alamat email, dan nama adalah akurat dan memang milik mereka.
  • Pelaku ancaman membagikan pertukaran email dengan Oracle kepada BleepingComputer. Dalam salah satu email, pelaku ancaman melaporkan peretasan server ke email keamanan Oracle (secalert_us@oracle.com).
  • Dalam pertukaran email lain, pelaku ancaman membagikan percakapan dengan seseorang yang menggunakan alamat email @proton.me milik Oracle. BleepingComputer tidak dapat memverifikasi identitas pemilik alamat email ini maupun keaslian pertukaran email tersebut, sehingga alamat emailnya dihapus.
  • Perusahaan keamanan siber Cloudsek menemukan URL Archive.org yang menunjukkan bahwa server "login.us2.oraclecloud.com" menjalankan Oracle Fusion Middleware 11g per 17 Februari 2025. Oracle menonaktifkan server ini setelah berita pelanggaran tersebut diberitakan.
  • Versi perangkat lunak ini terdampak kerentanan yang dilacak sebagai CVE-2021-35587, yang memungkinkan penyerang tanpa autentikasi untuk mengompromikan Oracle Access Manager. Pelaku ancaman mengklaim kerentanan ini digunakan untuk membobol server Oracle.
  • BleepingComputer telah beberapa kali mengirim email kepada Oracle mengenai informasi ini, tetapi tidak menerima tanggapan.

Bacaan terkait

1 komentar

 
GN⁺ 2025-03-28
Opini Hacker News
  • BleepingComputer mengonfirmasi dengan beberapa perusahaan bahwa sampel data yang dibagikan oleh pelaku ancaman memang valid
  • rose87168 membagikan URL Archive.org kepada BleepingComputer, dan URL ini berisi file teks yang dihosting di server login.us2.oraclecloud.com. File ini menunjukkan bahwa pelaku ancaman dapat membuat file di server Oracle dan mengindikasikan adanya kompromi yang nyata
  • Oracle seharusnya mengakui validitasnya sejak awal
  • Tidak ada hukuman yang berarti atas pelanggaran ini, dan berbohong bisa menimbulkan dampak PR yang lebih buruk daripada pelanggaran itu sendiri
  • Fakta bahwa Oracle menghosting gateway login pada produk yang memiliki kerentanan yang sudah diketahui sejak 2021 saja sudah cukup mengkhawatirkan
  • Menyangkal adanya kompromi meskipun ada bukti yang jelas adalah hal yang khas dari Oracle
  • Penasaran dengan demografi pengguna produk cloud Oracle; cerita tentang mereka mengisyaratkan penderitaan jangka panjang
  • Insiden ini tidak membantu meningkatkan kepercayaan terhadap produk mereka
  • Jika pernah mengelola Oracle, Anda akan paham mengapa ini tidak ditambal. Mereka tidak membuatnya mudah
  • Pelaku ancaman mengklaim menerima pesan dari seseorang yang menggunakan alamat email Oracle @proton.me yang berbunyi, "Saya menerima email Anda. Mulai sekarang mari gunakan email ini. Beri tahu saya jika Anda menerimanya."
  • Email adalah salah satu sumber yang di sebagian besar perusahaan publik harus disimpan selama jangka waktu tertentu (7 tahun?). Ini mungkin upaya untuk menghindari pencatatan
  • Pelanggaran data sayangnya tidak memengaruhi harga saham. Perusahaan yang menggunakan produk Oracle kecil kemungkinan akan segera bermigrasi
  • Penjualan di masa depan bisa terpengaruh, dan beberapa perusahaan kecil mungkin akan pindah. Namun, Oracle akan berusaha mengecilkan hal ini semaksimal mungkin
  • "Deny. Delay. Defend." bukan hanya slogan asuransi kesehatan
  • Penasaran apakah data pelanggan Oracle Opera Cloud dan Oracle NetSuite Cloud juga dicuri. Banyak hotel di seluruh dunia menggunakan Opera + NetSuite
  • Pernah bekerja saat polis "siber" diperkenalkan di salah satu dari tiga broker asuransi terbesar 10 tahun lalu. Penasaran siapa yang menanggung polis Oracle, dan berapa besar biaya di tower itu. Atau memang tidak ada polis? Semoga D&O bisa menanggung gugatan pemegang saham. Hubungan dekat dengan pemerintahan memberi ruang untuk penafsiran aturan
  • Tyler Technologies menyalahkan Judyrecords.com karena mengekspos kasus yang disegel di California, dan mengklaim itu sebagai pelanggaran keamanan akibat sistem obfuskasi mereka yang cacat. Menghindari tanggung jawab
  • Aturan #1 dalam insiden kompromi adalah tidak menulis kata "breach" di email. Jadi diduga mereka membahasnya di luar domain mereka
  • Penasaran sudah berapa lama Oracle menyangkal ini. Tiga hari?
  • Larry dan Trump memiliki hubungan dekat. Oracle akan (atau seharusnya) memecat CISO OCI dan SaaS