Анонимный пользователь, скрывающийся под ником rose87168, заявил о масштабной утечке данных из облачной инфраструктуры Oracle. На хакерском форуме BreachForums появились сообщения о якобы похищенных 6 млн записей, включая зашифрованные SSO-пароли, LDAP-данные, корпоративные ключи JPS и файлы Java Keystore. В подтверждение своих слов злоумышленник опубликовал образцы информации: текстовые документы, списки компаний-«жертв» и фрагменты LDAP-баз.
Что известно на текущий момент?
По версии rose87168, доступ к серверам Oracle Cloud формата login.[регион].oraclecloud.com был получен около 40 дней назад. В качестве доказательства хакер предоставил журналистам Bleeping Computer ссылку на архивную версию страницы, где на домене login.us2.oraclecloud.com размещен файл с адресом ProtonMail. Это, по его словам, подтверждает возможность загрузки данных на корпоративные ресурсы Oracle.
В переписке с изданием злоумышленник раскрыл детали своих требований: он якобы предложил компании выплатить 100 000 Monero (XMR) в обмен на информацию о методе взлома и уязвимостях, позволяющих проникнуть в облачные регионы US2 и EM2. Однако, как утверждает rose87168, Oracle отказалась от сделки, запросив технические детали для устранения пробелов в безопасности без финансовой компенсации.
Почему ситуация вызывает споры?
- Доказательства и их интерпретация. Опубликованные хакером данные частично зашифрованы. Например, SSO-пароли требуют дешифровки с использованием файлов из той же утечки. Это оставляет пространство для сомнений: являются ли образцы подлинными или частью спланированной провокации?
- Технические нюансы. Rose87168 намекает на использование неопубликованной уязвимости с идентификатором CVE, для которой нет публичных эксплойтов. Это усложняет независимую проверку его заявлений.
- Позиция Oracle. Компания категорически отрицает факт взлома: «Опубликованные учетные данные не связаны с Oracle Cloud. Ни один клиент не пострадал».
Экспертный взгляд
Кибербезопасность — область, где заявления сторон часто противоречивы. «Любая утечка требует тщательного расследования, — комментирует Алексей Петров, эксперт по облачным технологиям. — Даже если данные зашифрованы, их попадание в третьи руки создает риски: например, фишинг под брендами компаний из списка «жертв» или атаки на цепочки поставок».
Рекомендации для клиентов Oracle Cloud
- Проведите аудит журналов аутентификации за последние 60 дней.
- Обновите корпоративные ключи и сертификаты, особенно если работаете в регионах US2/EM2.
- Обратите внимание на подозрительные запросы: хакер предлагает компаниям «выкупить» свои данные до их публичной продажи.
Заключение
Пока независимые исследователи анализируют образцы утечки, ситуация остается неоднозначной. История поднимает важные вопросы: как компании должны реагировать на шантаж хакеров? Где грань между попыткой избежать паники и сокрытием фактов? Ясно одно — инцидент служит напоминанием о необходимости проактивной защиты критически важных инфраструктур.
Oracle сохраняет статус «все под контролем», но в эпоху, когда даже тень сомнения может ударить по репутации, клиентам стоит перестраховаться. Как гласит древняя пословица: «Доверяй, но проверяй» — особенно когда речь идет о кибербезопасности.