Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn

Oracle ontkent dat het slachtoffer is geworden van een cyberaanval waarbij beveiligingsinformatie en bepaalde gegevens van klanten via de Oracle Cloud-dienst gestolen zijn. Een hacker claimt zes miljoen bestanden te hebben gestolen van het clouddienstbedrijf.

In een statement tegenover BleepingComputer laat Oracle weten: "Er is geen datalek bij Oracle Cloud. De gepubliceerde credentials zijn niet voor Oracle Cloud. Er is geen data van klanten van Oracle Cloud gestolen of verloren."

Het bedrijf reageert hiermee op aantijgingen van een hacker die ter legitimatie van zijn vermeende cyberaanval bepaalde gegevens openbaarde, waaronder een lijst van bedrijven die gebruikmaken van de single sign-on-dienst van het bedrijf. Ook zouden er versleutelde sso-wachtwoorden gestolen zijn, waarbij de hacker instructies claimt te hebben om deze te ontsleutelen. Verder claimt de hacker dat hij Java Keystore- en encryptiesleutelbestanden bemachtigd heeft.

Daarnaast deelde de hacker een archieflink waaruit zou blijken dat hij een .txt-bestand naar de server voor login.us2.oraclecloud.com wist te uploaden, wat erop kan wijzen dat hij toegang tot de servers van Oracle had. Hier heeft Oracle vooralsnog niet inhoudelijk op gereageerd.

Volgens de hacker heeft hij Oracle om een betaling gevraagd om uit te leggen hoe hij toegang tot de servers van het bedrijf wist te verkrijgen. De cybercrimineel claimt dat Oracle zijn aanbod afwees omdat 'alle benodigde informatie al bekend was'.

Door Yannick Spinner

Redacteur

Feedback • 24-03-2025 15:21
21 • submitter: Aardworm

24-03-2025 • 15:21

21

Submitter: Aardworm

Lees meer

Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval
Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval Nieuws van 18 april 2025
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan Nieuws van 11 april 2025
Bloomberg: Oracle is opnieuw slachtoffer van hack
Bloomberg: Oracle is opnieuw slachtoffer van hack Nieuws van 3 april 2025
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden Nieuws van 3 april 2025
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn
Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn Nieuws van 26 maart 2025
Oracle voorziet clouddienst van Nvidia A100-gpu's
Oracle voorziet clouddienst van Nvidia A100-gpu's Nieuws van 22 september 2020
Oracle kondigt Oracle Autonomous Linux aan
Oracle kondigt Oracle Autonomous Linux aan Nieuws van 17 september 2019
Oracle kondigt 'geautomatiseerde database' aan als Amazon-concurrent
Oracle kondigt 'geautomatiseerde database' aan als Amazon-concurrent Nieuws van 2 oktober 2017
Oracle schrapt Solaris 12 van zijn roadmap
Oracle schrapt Solaris 12 van zijn roadmap Nieuws van 19 januari 2017
Oracle kondigt overname van dns-provider Dyn aan
Oracle kondigt overname van dns-provider Dyn aan Nieuws van 21 november 2016
Meer producten en artikelen
Beveiliging en antivirus Oracle Datalek Hack Hackers

Reacties (21)

-Moderatie-faq
21
21
15
2
0
3
Wijzig sortering
banaj 24 maart 2025 21:09
Oracle toont ten minste hoe slecht te communiceren:
  • login.us2.oraclecloud.com bevat(te) aantoonbaar kewestbaarheden
  • dit wordt - tot op heden - doodgezwegen
  • de rest van wat de hacker zegt "IS NIET WAAR!!1!" aldus Oracle
  • maar het onderzoek loopt nog
Als ik mijn geld in moet zetten, dan is het niet op Oracle :+

Check ook deze analyse. Waar rook is?

[Reactie gewijzigd door banaj op 24 maart 2025 21:31]

mphilipp
@banaj25 maart 2025 00:45
Ik merkte het hiervoor ook al op: hoeveel rechtszaken denk je dat ze aan hun broek krijgen als er daadwerkelijk een hack plaats heeft gevonden en ze laten na hun klanten op de hoogte te brengen? Je weet toch...de US&A, het land waarin mensen miljoenen krijgen omdat ze de hond in de magnetron drogen? Nee, ik geloof niet echt dat de hack zo enorm is als men wil laten geloven. Die figuur heeft iets te pakken gekregen, maar het is waarschijnlijk oud en/of heeft niet alles met OCI te maken. Misschien zijn het support accounts waar ze iets mee gefabriceerd hebben om te laten lijken alsof ze van alles hebben.

Je kunt veel van Oracle zeggen, maar ze zijn natuurlijk niet gek.

Die analyse is interessant. Hebben ze ook de account geanalyseerd die helemaal geen OCI dienst afnemen?

[Reactie gewijzigd door mphilipp op 25 maart 2025 00:47]

Heaget 24 maart 2025 15:27
Goed om te vermelden dat het onderzoek hiernaar nog steeds loopt. Wat we wel weten is:

1. Domeinen in de lijst zijn niet allemaal relevant
2. Delen van de informatie in de dataset zijn oud en wellicht uit voorgaande breaches
3. Informatie uit de dataset is terug gevonden in openbare GitHub repo's

Het is goed om wel bekende voorzorgsmaatregelen te nemen, maar er is tot dit moment niet onomstotelijk vastgesteld dat dit lek ook daadwerkelijk heeft plaatsgevonden.
SVMartin @Heaget24 maart 2025 15:49
Je kunt jouw bericht lezen alsof je bij (of voor) Oracle werkt en nauw betrokken bent bij het onderzoek. Ik kan me echter niet voorstellen dat iemand in dat geval hier deze info deelt.

Anders gezegd: wa is jouw bron?
Heaget @SVMartin24 maart 2025 16:01
Een kritische vraag, uitstekende keus. Voor mijn werk als Security Analist is dit praktisch wat ik doe. Ik ben losjes betrokken bij dit onderzoek, maar daarnaast heeft het mijn persoonlijke interesse.

De informatie die ik hier deel komt volledig uit openbare bronnen, gecombineerd met losstaande kennis uit het onderzoek wat ik vandaag heb gedaan zonder vertrouwelijke informatie vrij te geven.

1. Lijst me alle "getroffen" domeinen is online te vinden, deze informatie is publiek
2. Wederom komt de informatie uit publieke bronnen en vergelijkingen van voorgaande breaches
3. Zie artikel wat ik in mijn voorgaande reactie heb gepost
OruBLMsFrl @Heaget24 maart 2025 21:35
Van Microsoft wist ik wel dat je publiek kon opzoeken welke domeinen bij een tenant hoorden, en zo ook haast alle domeinnamen kan koppelen aan hun bijbehorende bedrijvengroep, als ze er bijvoorbeeld ook hun Microsoft365 mail op willen ontvangen. Maar begrijp ik goed dat zoiets dan ook voor Oracle tenants en domeinen bestaat, of komt die lijst domeinen daar weer uit een ander soort bron?
3raser @Heaget24 maart 2025 15:29
Hoe kan dat bestand op de server dan worden verklaard?
Heaget @3raser24 maart 2025 15:35
Dat kan ik niet, en daarom geef ik ook aan dat het onderzoek hiernaar nog loopt. Echter vind ik het wel belangrijk genoeg om te vermelden dat er in de claim gaten zitten.

edit

Wellicht een interessant artikel om te lezen ook: https://www.cloudsek.com/...as-a-production-SSO-setup

Wel wil ik hierbij aangeven dat CloudSek niet per se als betrouwbare bron te boek staat. In dit artikel lijken ze namelijk zelf hun eigen bevindingen te ontkrachten, met punt 1 en 3 bewijzen ze verder ook niets, behalve het bestaan van servers en diensten.

Voor het bestand op de Oracle server met het proton emailadres lijkt een oude CVE in Oracle Fusion te zijn gebruikt. Echter is er dus geen bewijs dat het een met het ander te maken heeft.

[Reactie gewijzigd door Heaget op 24 maart 2025 15:46]

mcd @Heaget24 maart 2025 16:34
Lijkt inderdaad wel oude info; wij maken gebruik van een gedeelde omgeving bij Oracle. En zie dat er 2 van de 3 domeinen in de lijst staan. De ontbrekende vestiging is in 2018 open gegaan. De gelekte data van onze domeinen lijkt dus van voor die tijd te zijn.
Ayporos @mcd24 maart 2025 19:31
Klinkt alsof die knakker wellicht op een of andere manier dat .txt bestand heeft weten te plaatsen maar níet data kon buitmaken en vervolgens probeert m.b.v. oude gelekte data net te doen lijken alsof hem dat wel is gelukt om zo te kijken of ie geld uit Oracle kan ontfrutselen... dus niet een hacker maar een scammer. :+
Robru1 24 maart 2025 16:26
Uiteraard ontkend Oracle dit! Waar rook is, is vuur. Toch?
NLxAROSA @Robru124 maart 2025 16:42
"Robru1 is de dader"

Waar rook is, is vuur toch? Of werkt dat toch niet zo?
Robru1 @NLxAROSA25 maart 2025 10:22
Inmiddels is er al weer wat meer bekend:
https://www.techzine.nl/n...dat-gelekte-data-echt-is/
paella @Robru125 maart 2025 22:24
Als je dat leest vind ik dat ook nauwelijk bewijs...
banaj @NLxAROSA24 maart 2025 21:33
De Russen!!!1! :+
mphilipp
@Robru124 maart 2025 17:36
Inderdaad, waar rook is, is vuur. Maar dat geldt niet voor alle wilde uitspraken.

Als je er even bij stilstaat, lijkt het mij erg onwaarschijnlijk dat Oracle dit - indien het écht zo is - onder de pet probeert te houden. Ze hebben in ieder geval hun klanten die zogenaamd in dat bestand voorkomen nog niet apart benaderd. Het zou vele rechtszaken opleveren als zij deze cruciale info niet doorspelen aan hun klanten.

Verder staan er ook nog bedrijven in die wel een account bij Oracle hebben, maar helemaal geen dienst afnemen in OCI. Dat geeft te denken...
cheeks @mphilipp25 maart 2025 00:20
Hier een zo'n bedrijf. Vol paniek gebeld dat we op een lijst staan, maar we nemen helemaal geen OCI af, tenzij de Oracle support accounts daar onder horen. Ook helemaal geen bericht van Oracle zelf dus dat zou een interessant scenario vormen als het wel zo is uiteindelijk.
iDennis3D 24 maart 2025 17:46
Ik kan iig bevestigen dat er domeinen in die lijst staan die absoluut geen gebruikmaken van Oraclecloud.

De “hacker” heeft vooraf gemeld dat organisaties zich tegen betaling van die lijst konden laten verwijderen - lekker betrouwbaar dus:-)
banaj @iDennis3D24 maart 2025 21:34
Welke domeinen gebruiken GEEN Oracle Cloud, en hoe weet je dat?

Sommige zo te zien zeker wel: zie https://www.cloudsek.com/...udseks-follow-up-analysis.

[Reactie gewijzigd door banaj op 24 maart 2025 21:34]

paella @banaj25 maart 2025 22:25
Een collega van me met een eigen domein staat op de lijst, maar heeft geen Oracle.
Hij had ooit een DynDNS account en dat is ovefgenomen door Oracle.

Ik vertrouw de claim voor een heel groot deel niet.
Raphie 27 maart 2025 17:38
Ik vertrouw CloudSEK niet. Als je een beetje googled dan is dat een clubje in India met nog geen mio omzet. Alles graviteert ook om de cloudsek analyst en Rose.
De domain checker is volgens mij één grote phishing tool. Confirmed adresses en FUD zijn extra leverage.
De rest zijn scraping copy/paste media

[Reactie gewijzigd door Raphie op 27 maart 2025 17:40]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq