bencede
New member
Oracle-Cloud'da Veri Kaybı: Yeni Bilgiler, Belirsizlik
Oracle'da veri kaybına ilişkin ilk raporlardan neredeyse bir hafta sonra, yeni bilgiler hala ortaya çıkıyor, ancak engel yok. İlk demansta, ABD grubu bir güvenlik kazasını reddetmişti, ancak kelime seçiminde önemli ölçüde spesifikti. Uzmanlar bu kasıtlı olarak değerlendirilir ve yeraltı forumlarında verileri otantik olarak hareket ettirme kaydına atıfta bulunurlar. Haberler Security verileri inceledi.
Oracle tarafından GAU gibi görünüyordu: Bulut ortamından altı milyon veri kaydı “Oracle Classic” Bulutlar, Darknet'teki en büyük uluslararası forumlardan birinde yasadışı feil verilerinin ticareti için bir aktör sundu. Ancak grup reddetti: “Oracle Cloud'a saldırı yoktu”. İpuçları şimdi Oracle-Damenti'nin yanıltıcı olabileceğini düşünüyor. Güvenlik araştırmacısı Kevin Beaumont bir blog makalesinde Oracle “Works” dan şüphelendi.
Buna ek olarak, grubun başka bir göstergesi vardı, yani “Wayback Machine” ile arşiv bağlantısı. Görünüşe göre saldırgan bunu zaten Mart 2025'in başında oluşturdu, “login.us2.oraclecloud.com” etki alanı altında yalnızca 19 karakter içeren bir metin dosyası gösteriyor. Görünüşe göre saldırgan, klasik Oracle Cloud ortamındaki merkezi bir arayüze en az kısa bir erişime sahipti. 1 Nisan 2025'te, bu mesajın yayınlanma tarihi, Wayback makinesindeki bağlantıyı geri yükler.
“Oracle-Cloud veya” Bir “Oracle Cloud'a saldırı mı?
Saldırganlar, Oracle ve Güvenlik Araştırmacıları arasındaki tartışmanın pivotu, “Oracle Cloud” ın başarıyla saldırıya uğramış olup olmadığı sorusudur. Oracle'ın kendisi reddediyor, ancak oldukça tuhaf ve şüpheli bir şekilde hassas bir isimlendirme kullanıyor. Şu anda pazarlanan bulut ortamına ek olarak (OCI – Oracle Cloud altyapısı), önceki nesil Oracle Cloud “Cloud Classic” de var. Klasik bulut ayrıca Oracle-Oas Cloud'un tüm işlevlerini sunar, ancak grup, ilgili ürün sayfasında önemli bir yerde açıklandığı gibi müşterileri çifte taşımak istiyor.
Oracle-Damenti açıkça “Oracle Cloud” a, dolayısıyla en modern OCI'ya bir saldırı müzakere etti. Bu nedenle, sadece bunları kullanan ve önceki ortamı hiç kullanmayan müşterilerin ilgilenmediği kesin görünüyor. Kasım 2024'te oluşturduğumuz bir Haberler güvenlik testi girişi, alan adları listesinde veya demo verilerinde görüntülenmez.
2000 Alman şirketleri etkilendi mi?
Demo verilerinden bahsetmişken: Ücretsiz mal örnekleri, yüzey forumlarında çalınan verilerin kayıtlarını satarken iyi tonun bir parçasıdır. Güncellendiği gibi, güncellenmelidirler, ancak satın almayı çekici hale getirmemek için çok fazla açıklamamalıdırlar. Oracle-Leck için deneme verileri bu nedenle sadece 140.000'den fazla alan, Oracle kullanıcısı veritabanından iki yıllık bir alıntı ve muhtemelen bir LDAP kullanıcı ağacından yedi yıllık bir metin özü listesi içerir. Bu, forumdaki katılımcılar arasında canlı bir tartışmaya neden oldu, çünkü her şeyden önce saldırganların güvenlik analistleri genişlemiş ve yeni bir dizi veri sağladı.
Yeni, taze ve iki kat daha fazla mal: Sızdır, şüpheli olanı ikna etmek için 31 Mart'ta daha fazla veri yükledi.
(Resim: Ekran görüntüsü / CKU)
Ayrıca Haberler Security: Şifrelenmiş adlara ve erişim verilerine ek olarak, ve -mil adreslerini ve kiracılarını veya Oracle dahili müşteri tanımlayıcılarını da içeren 10.000 veri kaydının eksiksiz bir CSV dosyasına sahibiz. Sadece test verilerimiz 1500'den fazla açık kiracı tanımlayıcısını içeriyor, bu nedenle tek bir Oracle müşterisine bir saldırı değil.
Müşterilerin listesi, birçok ünlü şirket ve DAX şirketi de dahil olmak üzere “.de” ile 2100'den fazla sektör içeriyor. Bankalar, gıda indirim mağazaları, eğitim kurumları, belediye BT servis sağlayıcıları ve birçok orta ölçekli şirket ve ayrıca oldukça özel veya teste erişim gösteren bazı sektörler bulunabilir. Bazı rastgele örnekler aldık ve bahsedilen şirketlerin mevcut çalışanlarının kaybından isimler atayabildik. Buna ek olarak, ilgilenen bir kişi doğrudan editoryal ekibe rapor verdi.
CloudSek Güvenlik Servis Sağlayıcısı artık doğrulamak için bir yolla ilgilenen yöneticilere ve şirketleri sunuyor. Çevrimiçi bir formda, ana alan adının adını girmek mümkündür, bu saldırgan tarafından sağlanan liste ile karşılaştırılır. Bu, görünüşe göre adreslerin ve -Mail'in etki alanına dayandığından, GMX, Proton veya Mailbox.org gibi otomobil sağlayıcıları bile 140.000 alan arasında görünür.
DevOps'un İstemsiz Akışı: 2019'dan beri Video Destek
Başka bir keşif, hırsızlığın pusunda hırsızlıkla ortaya çıkan oldukça garip. Ekran görüntüleme ile neredeyse bir saatlik bir video konferansının kaydı, görünüşe göre Oracle Destek teknisyenleri arasında “Oracle Classic” bulut ortamında bir veritabanı ortamının güncellenmesi etrafında bir oturum gösteriyor. Teknisyenler birlikte veritabanı sunucularını ve bulut sunucuları için görüntüden de uçan sunucu ortamlarının parolalarını artık erişemiyor.
Önerilen editoryal içerik
Rızanızla, burada harici bir YouTube videosu (Google Ireland Limited) burada davet edilir.
YouTube videosu her zaman yüklenir
YouTube videosu artık yüklüyor
Denetlenen Yönetim: Oracle Teknisyenleri Videoda Bir Bulut Ortamını Birlikte Yönetiyor
Video güncellenmedi, ancak görünüşe göre 2019'a kadar uzanıyor. Hudson Rock Güvenlik Analiz Şirketi videoyu YouTube'a yükledi ve GitHub'daki bir transkripsiyon da sizi gezinmeye davet ediyor.
Son tarih, görünüşe göre, bir dosyalama hizmetine yüklenen yirmi bir film. Görünüşe göre, hasarlı bir Oracle müşterisi adına destek portalına yapışmıştı ve ek prosedür hakkında bilgi için gözle görülür şekilde bunalmış bir çalışan istemişti.
Kırılma sayısı? LOL, hayır! – Oracle Forvet Müşteri Hizmetleri ile Diyalogda.
(Resim: Ekran görüntüsü: CKU)
Oracle'dan yeni bilgi yok
Oracle'a yeni bilgilerin arka planına karşı güncellenmiş bir beyandan sorduk. Özellikle, grubun orijinal demetini “Oracle Classic” bulutuna ve daha önce yayınlanan verilerin gerçekliğini nasıl değerlendirdiğine genişletmesi ile ilgileniyorduk. Ancak, 1 Nisan'a kadar herhangi bir geri bildirim almadık – gelir gelmez bu mesajı güncelliyoruz.
Oracle bulutlarından birinde kırılma veya veri kaybının ilk raporları Mart sonunda ortaya çıktı. Davetsiz misafirlerin hassas verilere nasıl eriştikleri henüz belli değil. Birkaç uzman, 2022'de zaten onarılmış olan CVE-ID CVE-2021-35587 ile güvenlik açığı için bir istismardan eriştiğinden şüpheleniyor.
(CKU)