ลูกค้า Oracle ยืนยันว่าข้อมูลรั่วไหลจริงจากเหตุบุกรุกคลาวด์

 (bleepingcomputer.com)
2 คะแนน โดย GN⁺ 2025-03-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Oracle ปฏิเสธว่าไม่มีการบุกรุกเซิร์ฟเวอร์ SSO สำหรับล็อกอินของ Oracle Cloud และไม่มีการขโมยข้อมูลบัญชี 6 ล้านรายการ แต่จากการยืนยันกับหลายบริษัทพบว่า ตัวอย่างข้อมูลที่ผู้ก่อภัยคุกคามแชร์มานั้นเป็นของจริง
  • บุคคลที่ใช้ชื่อว่า 'rose87168' อ้างว่าได้เจาะระบบเซิร์ฟเวอร์ Oracle Cloud และเริ่ม ขายข้อมูลยืนยันตัวตนและรหัสผ่านที่เข้ารหัสของผู้ใช้ 6 ล้านราย ผู้ก่อภัยคุกคามรายนี้อ้างว่าสามารถถอดรหัสรหัสผ่าน SSO และ LDAP ที่ขโมยมาได้ และเสนอจะแชร์ข้อมูลให้กับผู้ที่ช่วยกู้คืนรหัสผ่านเหล่านั้น
  • ผู้ก่อภัยคุกคามได้เผยแพร่ไฟล์ข้อความหลายไฟล์ที่มีฐานข้อมูล ข้อมูล LDAP และรายการโดเมนจำนวน 140,621 โดเมนของบริษัทและหน่วยงานรัฐที่คาดว่าได้รับผลกระทบจากการบุกรุก บางโดเมนของบริษัทดูเหมือนจะเป็นโดเมนสำหรับทดสอบ และมีหลายโดเมนต่อหนึ่งบริษัท
  • ผู้ก่อภัยคุกคามได้แชร์ URL ของ Archive.org สำหรับไฟล์ข้อความที่โฮสต์อยู่บนเซิร์ฟเวอร์ "login.us2.oraclecloud.com" กับ BleepingComputer ไฟล์นี้บ่งชี้ว่าผู้ก่อภัยคุกคามสามารถสร้างไฟล์บนเซิร์ฟเวอร์ Oracle ได้ ซึ่งชี้ไปถึงการบุกรุกที่เกิดขึ้นจริง
  • อย่างไรก็ตาม Oracle ยังคงปฏิเสธว่าไม่มีการบุกรุก Oracle Cloud และไม่ได้ตอบคำถามเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ Oracle กล่าวกับ BleepingComputer ว่า "Oracle Cloud ไม่ได้ถูกบุกรุก ข้อมูลรับรองที่เผยแพร่ออกมาไม่ใช่ของ Oracle Cloud ลูกค้า Oracle Cloud ไม่ได้ประสบกับการบุกรุกหรือการสูญหายของข้อมูล"
  • การปฏิเสธนี้ขัดแย้งกับสิ่งที่ BleepingComputer พบ โดย BleepingComputer ได้รับตัวอย่างข้อมูลเพิ่มเติมจากผู้ก่อภัยคุกคามและติดต่อบริษัทที่เกี่ยวข้องเพื่อยืนยันความถูกต้องของข้อมูล ตัวแทนบริษัทที่ยืนยันข้อมูลโดยไม่เปิดเผยชื่อระบุว่า ข้อมูลระบุตัวตน เช่น ชื่อที่แสดงใน LDAP ที่อยู่อีเมล และชื่อบุคคลนั้นถูกต้องและเป็นของพวกเขาจริง
  • ผู้ก่อภัยคุกคามได้แชร์อีเมลที่โต้ตอบกับ Oracle ให้ BleepingComputer ดู โดยในอีเมลฉบับหนึ่ง ผู้ก่อภัยคุกคามรายงานการแฮ็กเซิร์ฟเวอร์ไปยังอีเมลด้านความปลอดภัยของ Oracle (secalert_us@oracle.com)
  • ในชุดอีเมลอีกชุดหนึ่ง ผู้ก่อภัยคุกคามได้แชร์บทสนทนากับบุคคลที่ใช้อีเมล @proton.me ของ Oracle โดย BleepingComputer ไม่สามารถยืนยันตัวตนของเจ้าของอีเมลนี้หรือความถูกต้องของอีเมลโต้ตอบดังกล่าวได้ จึงลบที่อยู่อีเมลออก
  • บริษัทความปลอดภัยไซเบอร์ Cloudsek พบ URL ของ Archive.org ที่แสดงว่าเซิร์ฟเวอร์ "login.us2.oraclecloud.com" ใช้งาน Oracle Fusion Middleware 11g ณ วันที่ 17 กุมภาพันธ์ 2025 และ Oracle ได้นำเซิร์ฟเวอร์นี้ออฟไลน์หลังจากมีรายงานข่าวเรื่องการบุกรุก
  • ซอฟต์แวร์เวอร์ชันนี้ได้รับผลกระทบจากช่องโหว่ที่ติดตามในชื่อ CVE-2021-35587 ซึ่งอาจทำให้ผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตนสามารถเจาะระบบ Oracle Access Manager ได้ ผู้ก่อภัยคุกคามอ้างว่าช่องโหว่นี้ถูกใช้ในการเจาะเซิร์ฟเวอร์ของ Oracle
  • BleepingComputer ส่งอีเมลถึง Oracle หลายครั้งเกี่ยวกับข้อมูลนี้ แต่ไม่ได้รับการตอบกลับ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-03-28
ความเห็นจาก Hacker News
  • BleepingComputer ยืนยันกับหลายบริษัทแล้วว่าตัวอย่างข้อมูลที่ผู้ไม่หวังดีเผยแพร่นั้นเป็นของจริง
  • rose87168 ได้แชร์ URL ของ Archive.org ให้ BleepingComputer ซึ่ง URL นี้มีไฟล์ข้อความที่โฮสต์อยู่บนเซิร์ฟเวอร์ login.us2.oraclecloud.com ไฟล์นี้บ่งชี้ว่าผู้ไม่หวังดีสามารถสร้างไฟล์บนเซิร์ฟเวอร์ของ Oracle ได้ และส่อว่ามีการเจาะระบบเกิดขึ้นจริง
  • Oracle ควรยอมรับความถูกต้องของเรื่องนี้ตั้งแต่แรก
  • แทบไม่มีบทลงโทษที่เป็นรูปธรรมต่อเหตุข้อมูลรั่วไหล และการโกหกอาจสร้างผลกระทบด้าน PR ที่แย่กว่าตัวการรั่วไหลเองเสียอีก
  • แค่ข้อเท็จจริงที่ว่า Oracle โฮสต์เกตเวย์ล็อกอินบนผลิตภัณฑ์ที่มีช่องโหว่ซึ่งเป็นที่รู้กันมาตั้งแต่ปี 2021 ก็น่ากังวลมากแล้ว
  • การที่ Oracle ปฏิเสธการเจาะระบบทั้งที่มีหลักฐานชัดเจนถือเป็นเรื่องตามสไตล์ของบริษัท
  • อยากรู้ว่ากลุ่มผู้ใช้ผลิตภัณฑ์คลาวด์ของ Oracle เป็นใครบ้าง เพราะเรื่องเล่าที่เกี่ยวกับพวกเขาสื่อถึงความเจ็บปวดระยะยาว
  • เหตุการณ์นี้ไม่ได้ช่วยเพิ่มความเชื่อมั่นต่อผลิตภัณฑ์ของพวกเขาเลย
  • ถ้าเคยดูแล Oracle มาก่อนก็คงเข้าใจว่าทำไมถึงไม่แพตช์ เพราะพวกเขาไม่ได้ทำให้มันง่าย
  • ผู้ไม่หวังดีกล่าวว่าได้รับข้อความจากคนที่ใช้อีเมล @proton.me ของ Oracle ว่า "ฉันได้รับอีเมลของคุณแล้ว จากนี้ไปมาใช้อีเมลนี้กัน แจ้งฉันด้วยเมื่อคุณได้รับ"
  • อีเมลเป็นหนึ่งในข้อมูลที่บริษัทมหาชนส่วนใหญ่ต้องเก็บรักษาไว้ตามระยะเวลา (7 ปี?) น่าจะเป็นความพยายามหลีกเลี่ยงการทิ้งบันทึก
  • น่าเสียดายที่เหตุข้อมูลรั่วไหลแทบไม่กระทบราคาหุ้น บริษัทที่ใช้ผลิตภัณฑ์ Oracle ก็คงไม่ย้ายออกในทันที
  • ยอดขายในอนาคตอาจได้รับผลกระทบ และบางบริษัทขนาดเล็กอาจย้ายออก แต่ Oracle ก็คงพยายามลดทอนเรื่องนี้ให้มากที่สุด
  • "ปฏิเสธ ถ่วงเวลา ป้องกันตัว" ไม่ได้เป็นแค่สโลแกนของธุรกิจประกันสุขภาพ
  • สงสัยว่าข้อมูลลูกค้าของ Oracle Opera Cloud และ Oracle NetSuite Cloud ก็ถูกขโมยไปด้วยหรือไม่ โรงแรมจำนวนมากทั่วโลกใช้ Opera + NetSuite
  • เคยทำงานในบริษัทนายหน้าประกันภัย 3 อันดับแรกแห่งหนึ่งเมื่อ 10 ปีก่อน ตอนที่เริ่มมีกรมธรรม์ "ไซเบอร์" เลยสงสัยว่าใครเป็นผู้รับประกันกรมธรรม์ของ Oracle และในชั้นความคุ้มครองนั้นจะเสียหายไปเท่าไร หรือไม่มีกรมธรรม์เลย? หวังว่า D&O จะครอบคลุมคดีผู้ถือหุ้นได้ ความใกล้ชิดกับฝ่ายบริหารทำให้มีช่องให้ตีความกฎได้
  • Tyler Technologies เคยโทษ Judyrecords.com เรื่องการเปิดเผยคดีที่ถูกปิดผนึกในแคลิฟอร์เนีย และอ้างว่าเป็นการละเมิดความปลอดภัย ทั้งที่จริงเกิดจากระบบทำข้อมูลให้คลุมเครือที่ผิดพลาดของตัวเอง เป็นการปัดความรับผิดชอบ
  • กฎข้อที่ 1 ของเหตุเจาะระบบคืออย่าใช้คำว่า breach ในอีเมล เลยเดาว่าพวกเขาคุยกันนอกโดเมนของบริษัท
  • สงสัยว่า Oracle ปฏิเสธเรื่องนี้มานานแค่ไหนแล้ว 3 วันเหรอ?
  • Larry กับ Trump มีความสัมพันธ์ใกล้ชิดกัน Oracle น่าจะ (หรือควรจะ) ปลด CISO ของ OCI และ SaaS