Beviserne for et omfattende sikkerhedsbrud hos Oracle vokser.
Flere kunder har nu bekræftet, at data, som angiveligt stammer fra et hackerangreb på Oracle Cloud, er autentiske.
Det oplyser Alon Gal, som er CTO hos sikkerhedsfirmaet Hudson Rock, der har fået adgang til 10.000 poster fra den påståede hacker ‘rose87168’, på LinkedIn.
Ifølge Alon Gal har Hudson Rock kontaktet kunder, hvis oplysninger optræder i det lækkede datasæt, for at få bekræftet, om brugeroplysningerne eksisterer, om tenant-ID'er matcher, og om kontiene har adgang til følsomme oplysninger.
Indtil videre har tre kunder bekræftet, at deres data stemmer overens med det lækkede materiale.
En af dem har endda slået fast, at brugerne i lækket aktivt håndterer data – og at flere af dem har adgang til følsomme oplysninger, lyder det ifølge Hudson Rock-CTO'en.
Kan være koblet til kendt sårbarhed
Hackeren 'rose87168', som hævder at stå bag det omtalte hack, siger, at han har udnyttet en kendt RCE-sårbarhed (Remote Code Execution), som tidligere er blevet rapporteret af cybersikkerhedsfirmaet CloudSEK.
CloudSEK påpegede allerede 21. marts, at login-databasen for domænet login.us2.oraclecloud.com var blevet kompromitteret, og advarede dengang om de potentielt vidtrækkende konsekvenser.
Nu skal Oracle finde en grimasse, der kan passe
Oracle har dog afvist, at der skulle være tale om et databrud.
I en officiel udtalelse til Bleeping Computer fastslog virksomheden forleden, at "de offentliggjorte oplysninger ikke stammer fra Oracle Cloud. Ingen Oracle Cloud-kunder har været udsat for et databrud eller mistet data," lød det blandt andet.
Men Hudson Rocks nye fund ser nu ud til at udfordre den forklaring.
Hvis det bekræftes, at lækket omfatter produktionsdata med adgang til følsomme oplysninger, er det et alvorligt brud, der kan få konsekvenser for en lang række virksomheder.
Sikkerhedseksperterne opfordrer nu Oracle til at anerkende situationens alvor og komme med flere oplysninger om bruddet.
Samtidig anbefales virksomheder, der benytter Oracle Cloud, at gennemgå deres systemer og skifte credentials, hvis der er mistanke om kompromittering.