Beveiligingsbedrijven: gelekte Oracle-data lijkt authentiek te zijn

De data die een hacker claimt te hebben gestolen van Oracle Cloud lijkt authentiek te zijn. Dat geven twee beveiligingsonderzoekers aan. Oracle ontkende eerder dat er een datalek is geweest. De hacker claimt zes miljoen records te hebben van 140.000 klanten.

Hacker rose87168 heeft een deel van de data gedeeld met Hudson Rock en CloudSEK. Hudson Rock-cto Alon Gal zegt te hebben gesproken met drie klanten, die bevestigen dat in ieder geval een deel van de data klopt. Zo komen de gebruikers die in het bestand worden genoemd overeen met gebruikersnamen van de bedrijven. Het gaat bovendien om gebruikersnamen die actief werden of worden gebruikt, dus niet om testgebruikersnamen. Een van de klanten geeft aan dat een deel van de gebruikers toegang heeft tot vertrouwelijke data.

CloudSEK zegt de data ook te hebben geanalyseerd en vermoedt eveneens dat het daadwerkelijk gaat om gestolen data. Zo zouden de 'volume en structuur zeer moeilijk' te fabriceren zijn. Dit beveiligingsbedrijf geeft daarnaast aan dat er persoonlijke e-mails in de dataset zitten, vermoedelijk van bedrijven die single sign-on (sso) toestaan.

De bevindingen van beide beveiligingsorganisaties komen nadat Oracle ontkende slachtoffer te zijn van een cyberaanval. "Er is geen datalek bij Oracle Cloud", zei Oracle. De hacker claimt onder meer versleutelde sso-wachtwoorden in handen te hebben met ontsleutelingsinstructies. De hacker zegt ook Java Keystore- en encryptiesleutelbestanden te hebben gestolen. Oracle heeft nog niet gereageerd op de nieuwe aantijgingen van Hudson Rock en CloudSEK.

Door Hayte Hugo

Redacteur

Feedback • 26-03-2025 17:00 33

26-03-2025 • 17:00

33

Lees meer

Oracle wil 1 miljard dollar investeren in AI en cloud in Nederland
Oracle wil 1 miljard dollar investeren in AI en cloud in Nederland Nieuws van 15 juli 2025
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025
Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval
Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval Nieuws van 18 april 2025
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan
'Groot datalek' bij ministeries blijkt uit namen van ambtenaren te bestaan Nieuws van 11 april 2025
Bloomberg: Oracle is opnieuw slachtoffer van hack
Bloomberg: Oracle is opnieuw slachtoffer van hack Nieuws van 3 april 2025
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden
Contactlenzenwebshop Lensdeal waarschuwt klanten voor gestolen wachtwoorden Nieuws van 3 april 2025
Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn
Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn Nieuws van 24 maart 2025
Cybersecuritybedrijf Wiz wordt overgenomen door Google voor 32 miljard dollar
Cybersecuritybedrijf Wiz wordt overgenomen door Google voor 32 miljard dollar Nieuws van 18 maart 2025
CPB: Europa en Nederland zijn veel te afhankelijk van Amerikaanse clouddiensten
CPB: Europa en Nederland zijn veel te afhankelijk van Amerikaanse clouddiensten Nieuws van 31 oktober 2024
Oracle brengt Java 23 uit met twaalf JDK Enhancement-voorstellen
Oracle brengt Java 23 uit met twaalf JDK Enhancement-voorstellen Nieuws van 19 september 2024
Meer producten en artikelen
Beveiliging en antivirus Oracle Datalek Hack Hackers

Reacties (33)

-Moderatie-faq
33
32
23
0
0
6
Wijzig sortering
DennusB 26 maart 2025 17:12
Bizar lek voor zo’n groot bedrijf, en het ontkennen maakt het nog veel erger …
Mellow Jack @DennusB26 maart 2025 17:22
De lek an sich vind ik niet perse zo erg. Het ontkennen vind ik idd bizar. Icm het feit dat klanten niet worden geïnformeerd
Charlie_Root @Mellow Jack26 maart 2025 17:30
Ze hebben toegang tot de infra van Oracle (gehad), bewezen door een file te plaatsen. Niet zo erg?
In addition to providing researchers with a sample of the sensitive data they allegedly stole from the IT titan, rose87168 also demonstrated they were able to create a text file, archived here, on a public-facing Oracle-owned web server as proof of their intrusion and the heist. That file contained rose87168's email address, seemingly to show they did indeed have access to the login server.
https://cloudsek.com/blog...fecting-over-140k-tenants

[Reactie gewijzigd door Charlie_Root op 26 maart 2025 18:16]

Mellow Jack @Charlie_Root26 maart 2025 17:40
Oh begrijp me niet verkeerd. Natuurlijk is het ernstig. Maar het kan in principe iedereen overkomen. De manier van reageren is voor mij echt doorslaggevend in het vertrouwen wat ik heb in de toekomstige relatie met een partij.

Ik had tenminste op een proactieve houding gehoopt die uitgaat van het ergste. Nu moeten klanten signalen krijgen van derde partijen.
CH4OS
@Mellow Jack26 maart 2025 17:53
Ik had tenminste op een proactieve houding gehoopt die uitgaat van het ergste. Nu moeten klanten signalen krijgen van derde partijen.
Het onderzoek is nog gaande en er zijn bepaalde bevindingen die eea wel in een ander daglicht zetten. Zie deze thread bijvoorbeeld: Heaget in 'Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn'

[Reactie gewijzigd door CH4OS op 26 maart 2025 17:54]

Baserk @CH4OS26 maart 2025 18:05
Maar zijn opmerking/quote wordt nu dus tegengesproken, door beide genoemde beveiligingsorganisaties.
Het is goed om wel bekende voorzorgsmaatregelen te nemen, maar er is tot dit moment niet onomstotelijk vastgesteld dat dit lek ook daadwerkelijk heeft plaatsgevonden.
Heaget in 'Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn'

[Reactie gewijzigd door Baserk op 26 maart 2025 18:07]

Charlie_Root @Baserk26 maart 2025 18:15
Exact. En blijkbaar snapt hij ook niet dat het Oracle Access Manager, onderdeel van Oracle Fusion Middleware, betreft.
OruBLMsFrl @CH4OS26 maart 2025 18:04
Tegelijk is mijn vraag aan Heaget daar onbeantwoord gebleven. Anyway, toen is uit voorzorg toch ook al maar de hele boel een password reset door moeten gaan plus de SSO koppeling gereset. Met dit soort zaken moet je nooit risico's lopen, het is uiteindelijk ook echt je werk en vak als beheerder, dan komt zoiets eens wat vaker voorbij.
OruBLMsFrl in 'Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn'
closefuture @Mellow Jack26 maart 2025 22:55
Maar het kan in principe iedereen overkomen.
Kennelijk werd er gebruik gemaakt van een kwetsbaarheid die al in 2021 bekend was. Dat neigt wel echt naar grove nalatigheid:

Cybersecurity firm Cloudsek has also found an Archive.org URL showing that the "login.us2.oraclecloud.com" server was running Oracle Fusion Middleware 11g as of February 17, 2025. Oracle has since taken this server offline after news of the alleged breach was reported.

This version of the software was impacted by a vulnerability tracked as CVE-2021-35587 that allowed unauthenticated attackers to compromise Oracle Access Manager. The threat actor claimed that this vulnerability was used in the alleged breach of Oracle's servers.
magician2000 @Mellow Jack27 maart 2025 00:22
Met "Er is geen datalek bij Oracle Cloud" ontkennen ze niet dat er data gelekt is. Maar niet bij Oracle Cloud. Ik ken Oracle niet, maar er zijn vast vele wegen die tot die data leiden waardoor het ergens anders gelekt is. Of ze hebben een ander beeld bij "lek" (gestolen door werknemer). Spelen met woorden en termen.
CH4OS
@DennusB26 maart 2025 17:26
Als de klanten zelf hun instances in Oracle Cloud niet goed beveiligen, hoeft het inderdaad ook niet automatisch te betekenen dat er een datalek is bij Oracle Cloud als dienst.

Zie het als een huurder die zijn gehuurde woning niet goed afsluit en vervolgens het huis leeg gehaald is. Dan is de woningcorporatie ook niet direct verantwoordelijk wanneer blijkt dat de deur gewoon open stond.

CC: @Mellow Jack.
DennusB @CH4OS26 maart 2025 17:30
Dit was een supply chain attack op het login scherm van de Oracle Cloud, heeft dus niets te maken met de instances van klanten.
CH4OS
@DennusB26 maart 2025 17:58
Zie bijvoorbeeld Heaget in 'Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn', dat ook eea in een ander daglicht zet.
OruBLMsFrl @CH4OS26 maart 2025 18:13
Zie ook mijn andere reactie hierboven, maar zo'n bewering 'deze data zit ook in andere breaches', dat kan ook een geval van verkeerd geïnterpreteerde causaliteit vs correlatie zijn. Dat veel bedrijf mailadressen ook al in andere breaches zitten, wil niet zeggen dat ze niet ook in deze Oracle breach meer mogen voorkomen. Mogelijk was er meer reden voor twijfel, maar bronnen met een degelijke statistische analyse heb ik niet gezien helaas.
Zakelijke mailadressen veranderen nu eenmaal niet zo heel vaak en geeft voor personen ook overlast als dat wel nodig is. Dus ja, dan maar uit voorzorg iedereen een password change door laten maken, het is niet anders.
Het kan hoor dat een deel alsnog fake blijkt, maar ik heb geen relevante samples of analyses gezien waar je zelf op kan oordelen, en dan houd je weinig alternatieven over als je security serieus neemt. Althans ik zou in zo'n geval iedereen aanraden toch die systeembeheerders of cloud beheerders die wachtwoorden en zo een SSO koppeling te laten veranderen. Better safe than sorry, zullen toch ook snel serieuze workloads zijn bij Oracle, die staan toch wel bekend als vooral enterprise markt gericht
Charlie_Root @CH4OS26 maart 2025 17:33
Eerst misschien even de artikelen lezen? Dat was dus in dit geval de oorzaak niet.
CH4OS
@Charlie_Root26 maart 2025 17:42
Dat heb ik gedaan, ook de reacties. Onderzoek is ook nog gaande en het lijkt erop dat er wel wat bevindingen zijn, waardoor er (ook hier op Tweakers) eea toch wel in een ander daglicht te zetten valt (en dat is niet waar de reacties in dit artikel op zinspelen).

[Reactie gewijzigd door CH4OS op 26 maart 2025 17:51]

banaj 26 maart 2025 18:28
Edit 2: Third customer confirmed the users and tenant ids match, and that they are for prod environment
Wow...
paella @banaj26 maart 2025 18:52
Dan hebben ze dus een user (geen ww denk ik) en een tenant id. Dat is nog niet zo spannend. Ik vind de bewijzen mager en de lijst domeinen zeker niet overtuigend (ik ken een aantal domeinen dit absoluut geen Oracle tenant hebben).
DennusB @paella26 maart 2025 19:20
Je kan wel heel gericht gaan phishen met een tenant ID en username he
paella @DennusB26 maart 2025 19:32
Klopt, maar dat is wat anders dan je complete data in je Oracle ERP of wat dan ook kwijt zijn...
banaj @paella26 maart 2025 21:14
Dat jij het niet overtuigend vindt is prima, maar een mening.

Nieuw feit is: de data bevat - al dan niet gedeeltijk:
  • accurate data
  • van een productieomgeving
  • van echte Oracle klanten
Er dus niet niets gebeurd. Het volledige beeld hebben we nog niet, maar dit lijkt meer rook te zijn...
paella @banaj26 maart 2025 21:27
van 3 klanten, en niet nieuw maar alweer 2 dagen oud nieuws. En ook alleen maar users en tenant-ids. Ik zeg niet dat er niets aan de hand is, maar de bewijzen zijn niet heel groot.
banaj @paella3 april 2025 20:33
Oracle privately confirms Cloud breach to customers.
paella @banaj4 april 2025 08:26
Yep, wij zijn ook privately geïnformeerd, maar oude eval logins, etc, niet spannend voor ons.
Charlie_Root 26 maart 2025 17:29
Vrij ernstig, zeker gelet hoe Oracle er mee omgaat. Bijzonder dat er slechts een paar sites (en dan nu Tweakers) over berichtten.
Digimann @Charlie_Root26 maart 2025 18:26
Het is iig de tweede keer dat Tweakers over dit voorval schrijft. zie: nieuws: Oracle ontkent datalek waarbij beveiligingsinformatie gestolen zou zijn
kodak
@Charlie_Root26 maart 2025 18:26
Dat een bedrijf ontkent terwijl een ander een bewering doet is niet perse ernstig. Er worden namelijk wel vaker beweringen en verkeerde conclusies getrokken, zowel door bedrijven als door onderzoekers.

Aangezien iedereen kan beweren dat er iets lijkt is er dus ook voorzichtigheid nodig dat niet zomaar aan te nemen om van het ergste uit te gaan. Omgekeerd gaat dat net zo goed bij een ontkenning. Maar dat is niets nieuws.

Het ernstige lijkt mee eerder dat er kennelijk niet zomaar interesse in weet over datalekken is tot een crimineel iets gaat claimen. En dat gaat niet slechts om de bedrijven die klant bij Oracle zijn en nu geconfronteerd worden met onzekerheid.
Soldaatje 26 maart 2025 17:24
Heb net wat domeinen gecheckt met de tool en Microsoft.com, Google.com en Amazon.com staan in de lijst. Apart is dat.
cheeks @Soldaatje26 maart 2025 17:53
Zolang iemand het heeft uitgeprobeerd kunnen ze op de lijst staan. De Belastingdienst staat er bijvoorbeeld op, maar die gebruiken geen OCI.
paella 26 maart 2025 21:24
<verkeerd gereageerd>

[Reactie gewijzigd door paella op 26 maart 2025 21:28]

El-toro 3 april 2025 09:37
Oracle heeft ondertussen al bedrijven ingelicht dat ze gehacked geweest zijn.
Volgens hen betreft het een Legacy server die eigenlijk in decomission modus stond en daardoor niet goed meer beveiligd was.

De data is volgens hen onboarding data of data die niet echt relevant was en de hackers zouden nooit aan de wachtwoorden kunnen... Ik heb er wat mijn twijfels over.

Ik was aanwezig bij de meeting en momenteel weigert Oracle om een statement op papier te zetten.
Waarschijnlijk proberen ze op deze manier rechtzaken te vermijden.
Robru1 3 april 2025 13:18
https://www.techzine.nl/n...ens-van-klanten-gestolen/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq