Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Oracle angeblich gehackt: Nutzerdaten im Darknet zum Verkauf

Hat es einen IT-Sicherheitsvorfall bei Oracle gegeben? Sicherheitsforscher sagen ja, Medienberichten zufolge dementiert Oracle eine Attacke.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Washington Post: Trump bestätigt Cyberangriff gegen Russland 2018
Update
Lesezeit: 2 Min.
Security
Von

Sicherheitsforscher von CloudSEK berichten, dass im Darknet sensible Daten von rund 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke stammen. Dem Hard- und Softwarehersteller zufolge hat es keinen IT-Sicherheitsvorfall gegeben.

Das versicherte ein Oracle-Sprecher der IT-Nachrichtenwebsite Bleepingcomputer. Die Antwort auf eine Anfrage von heise security steht derzeit noch aus. Diese Stellungnahme steht konträr zu den Aussagen der Sicherheitsforscher in ihrem Bericht.

Update

Mittlerweile hat sich Oracle mit einem Statement gemeldet und versichert, dass es keine Attacke auf Oracle Cloud (OCI) gegeben hat. "Die veröffentlichten Anmeldedaten sind nicht für OCI. Keiner der OCI-Kunden hat einen Verstoß erlitten oder Daten verloren.“

Zugangsdaten kopiert

Darin führen sie aus, dass ein Nutzer mit dem Pseudonym "rose87168" in einem Untergrundforum ein Datenpaket mit 6 Millionen Einträgen mit persönlichen Daten von 140.000 Oracle-Kunden zum Verkauf anbietet. Die Sicherheitsforscher geben an, mit dem Anbieter der Daten gesprochen zu haben.

Sie führen aus, dass der Angreifer sich über eine Sicherheitslücke Zugang zu oraclecloud.com verschafft haben könnte. Dabei soll er Daten wie verschlüsselte SSO-Passwörter kopiert haben. Er ruft nun zum Knacken der Kennwörter auf und stellt eine Belohnung in Aussicht. Auf X hat er den Forschern zufolge eine Liste mit betroffenen Unternehmen angelegt. Diese können sich beim ihm melden, sodass er ihre Daten gegen eine Gebühr entfernt.

Weitere HintergrĂĽnde

Als Beweis, dass er die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat, führen die Sicherheitsforscher eine URL auf, die zu einer Textdatei mit der Mailadresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.

Aus dem Waybackmachine-Eintrag geht den Forschern zufolge außerdem hervor, dass auf dem Server Fusion Middleware 11g mit einem Patchstand Ende September 2014 lief. Demzufolge schätzen die Forscher ein, dass das Einfallstor eine "kritische" Sicherheitslücke (CVE-2021-35587) im OpenSSO Agent war. Diese Schwachstelle lasse sich mit vergleichsweise wenig Aufwand ohne Authentifizierung über das Netzwerk ausnutzen.

Nun bleibt abzuwarten, wie Oracle den Vorfall weiter kommentiert.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten