De aanwijzingen voor de Oracle-hack blijven zich opstapelen. Inmiddels zijn er meerdere bevestigingen dat de gelekte klantendata echt is.
Dat deelt CTO Alon Gal van securitybedrijf Hudson Rock. Gal heeft 10.000 records ontvangen van de vermeende aanvaller ‘rose87168′ en werkt aan de validatie van deze gegevens. Om de claim te verifiëren, heeft Gal contact opgenomen met Hudson Rock-klanten die in de gelekte data voorkomen. Hij vroeg hen specifiek te bevestigen of de gebruikersaccounts bestaan, of de tenant-ID’s overeenkomen, of het om productie- of testomgevingen gaat en of de accounts toegang hebben tot gevoelige data.
Inmiddels zijn er drie bevestigingen dat de gelekte gegevens authentiek zijn. Een van hen gaf aan dat de gebruikers in de sample daadwerkelijk bestaan en actief data hosten. Bovendien hebben sommige accounts toegang tot gevoelige informatie, wat de eerdere aanname dat het slechts om testomgevingen zou gaan, weerlegt.
Verband met eerdere kwetsbaarheid
De aanvaller claimt dezelfde RCE (Remote Code Execution) te hebben gebruikt die eerder door cybersecuritybedrijf CloudSEK werd gerapporteerd. CloudSEK bevestigde eerder al dat Oracle daadwerkelijk gehackt was, ondanks ontkenningen van het bedrijf zelf.
In hun onderzoek, dat op 21 maart begon, ontdekte CloudSEK dat het domein login.us2.oraclecloud.com gecompromitteerd was. Ze spraken toen al over een ‘diepgaande impact’ van de hack.
Gevolgen voor Oracle-klanten
De bevestiging dat de gelekte data toegang bieden tot productieomgevingen met gevoelige data maakt de situatie zorgwekkend. Hoewel Oracle eerder stellig ontkende dat er sprake was van een hack, lijken de nieuwe bevindingen van Hudson Rock deze claim te weerleggen.
Gal roept Oracle op om meer informatie te verstrekken of te beginnen met het herstellen van de situatie. Voor organisaties die gebruikmaken van Oracle Cloud is het raadzaam om hun credentials te controleren en waar nodig te vernieuwen.