Oracle Cloud alleged云泄露事件：客户证实被盗数据有效

尽管 Oracle 否认其 Oracle Cloud 联邦 SSO 登录服务器遭到入侵，以及 600 万用户帐户数据被盗，但 BleepingComputer 已经从多家公司处证实，威胁者分享的相关数据样本是有效的。

上周，一个名为 ‘rose87168’ 的人在声称 入侵了 Oracle Cloud 服务器 后，开始出售据称包含 600 万用户的身份验证数据和加密密码。该威胁者还表示，被盗的 SSO 和 LDAP 密码可以使用被盗文件中的信息进行解密，并提出与任何可以帮助恢复密码的人分享部分数据。

该威胁者发布了多个文本文件，其中包含一个数据库、LDAP 数据以及一个包含 140,621 个域名的列表，这些域名属于据称受到此次泄露影响的公司和政府机构。 应该注意的是，其中一些公司域名看起来像是测试，并且每家公司有多个域名。

Threat actor selling allegedly stolen Oracle Cloud data Source: BleepingComputer

除了数据之外，rose87168 还与 BleepingComputer 分享了一个 Archive.org URL，该链接指向托管在 "login.us2.oraclecloud.com" 服务器上的一个文本文件，其中包含他们的电子邮件地址。 该文件表明该威胁者可以在 Oracle 的服务器上创建文件，表明确实发生了入侵。

然而，Oracle 否认其 Oracle Cloud 遭受了入侵，并拒绝回应有关此事件的任何进一步问题。

“Oracle Cloud 没有发生任何入侵事件。 已发布的凭据不属于 Oracle Cloud。 没有 Oracle Cloud 客户遭受入侵或丢失任何数据，”该公司上周五告诉 BleepingComputer。

然而，这种否认与 BleepingComputer 的调查结果相矛盾，BleepingComputer 从该威胁者处收到了更多泄露的数据样本，并联系了相关公司。

这些公司的代表（他们都同意在匿名承诺下确认数据）证实了信息的真实性。 这些公司表示，相关的 LDAP 显示名称、电子邮件地址、名字和其他识别信息都是正确的，并且属于他们。

该威胁者还与 BleepingComputer 分享了电子邮件，声称这些邮件是他们与 Oracle 之间的交流的一部分。

其中一封电子邮件显示，该威胁者联系了 Oracle 的安全电子邮件 (secalert_us@oracle.com)，报告他们入侵了服务器。

BleepingComputer 看到的这封电子邮件写道：“我深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，它让我完全可以访问 600 万用户的信息”。

与 BleepingComputer 分享的另一封电子邮件线程显示了该威胁者与使用 ProtonMail 电子邮件地址并声称来自 Oracle 的人之间的交流。 BleepingComputer 已编辑了此人的电子邮件地址，因为我们无法验证他们的身份或电子邮件线程的真实性。

在这次电子邮件交流中，该威胁者表示，来自 Oracle 的某人使用 @proton.me 电子邮件地址告诉他们：“我们收到了您的电子邮件。 从现在开始，让我们使用这封电子邮件进行所有通信。 收到请回复。”

网络安全公司 Cloudsek 也 发现 了一个 Archive.org URL，显示 "login.us2.oraclecloud.com" 服务器截至 2025 年 2 月 17 日正在运行 Oracle Fusion Middleware 11g。 在有关 alleged 泄露事件的报道发布后，Oracle 此后已将此服务器下线。

该软件的这个版本受到了一个漏洞的影响，该漏洞被追踪为 CVE-2021-35587，该漏洞允许未经身份验证的攻击者破坏 Oracle Access Manager。 该威胁者声称该漏洞被用于 alleged 入侵 Oracle 的服务器。

BleepingComputer 已多次通过电子邮件向 Oracle 询问有关此信息，但未收到任何回复。