Hacker dichiara di aver violato Oracle Cloud e per dimostrarlo mette in vendita i dati degli utenti, ma l'azienda americana smentisce
Una situazione controversia su un presunto data breach è sorta su Oracle dopo che nei giorni scorsi un hacker ha affermato di aver violato l’infrastruttura cloud dell’azienda americana e di essere riuscito ad esfiltrare dati sensibili.
Sebbene Oracle abbia negato qualsiasi violazione, alcuni ricercatori di sicurezza informatica sostengono che le prove disponibili suggeriscano il contrario.
La vicenda era iniziata lo scorso 20 marzo sul famigerato forum di hacking BreachForums, dove un hacker denominato “rose87168” aveva affermato di aver sfruttato una vulnerabilità critica in Oracle Access Manager per ottenere l’accesso all’infrastruttura Oracle Cloud. L’hacker aveva dichiarato di aver rubato più di 6 milioni di record legati a oltre 140.000 “tenant”, tra cui credenziali, chiavi OAuth2 e configurazioni interne degli utenti.
A seguito della diffusione della notizia, un portavoce di Oracle aveva dichiarato a The Register che “non c’era stata alcuna violazione di Oracle Cloud” e che “le credenziali pubblicate non sono per Oracle Cloud. Nessun cliente Oracle Cloud ha subito una violazione o perso dati”.
Tuttavia, ora gli esperti di sicurezza informatica dicono il contrario. Secondo una ricerca condotta da Trustwave Holdings Inc., l'hacker offrirebbe più opzioni di acquisto per i dati presumibilmente rubati, inclusi pacchetti classificati per nome della società e tipo di credenziali. Il criminale ha anche fornito campioni per supportare le proprie affermazioni, tra cui un database con informazioni di identificazione personale, record LDAP, e un elenco di società potenzialmente interessate.
Il team di intelligence sulle minacce di Trustwave rileva che la struttura e il contenuto dei dati di esempio appaiono coerenti con gli ambienti reali, in particolare quelli che utilizzano i sistemi SSO e LDAP di Oracle. Se il data breach si rivelasse realmente verificato, ciò comporterebbe un’esposizione significativa di credenziali sensibili che potrebbero portare a un ulteriore sfruttamento attraverso campagne di phishing o l’accesso non autorizzato alle banche dati.
Nel post sul proprio blog del 27 marzo, Trustwave ha sottolineato che le smentite di Oracle non sono state supportate da dettagliate contro-prove tecniche. L'azienda consiglia ai clienti di non respingere i reclami a titolo definitivo, in particolare dato che alcune aziende che sarebbero coinvolte hanno confermato che le porzioni di dati trapelati sono autentiche.
Benchè Oracle stia ancora negando che qualsiasi violazione abbia avuto luogo e che la portata della violazione, se effettivamente avvenuta, non è ancora chiara, il rischio per le imprese colpite potrebbe essere sostanziale se le affermazioni dell’hacker si dimostrassero vere.
Secondo il consiglio di Trustwave, le organizzazioni coinvolte dovrebbero adottare misure proattive per mettersi al sicuro, tra cui il cambio delle credenziali potenzialmente esposte, l'abilitazione dell'autenticazione a più fattori, e l'aumento del monitoraggio per attività sospette, nonché la conduzione di attività di intelligence per approfondire quali dati siano stati realmente compromessi.
