Een vermeend groot datalek in Oracle Cloud is recentelijk gemeld en zou mogelijk meer dan 140.000 klanten wereldwijd treffen. Volgens CloudSEK zouden bijna 6 miljoen vertrouwelijke records zijn buitgemaakt door een actor met de naam rose87168, die beweert toegang te hebben gekregen door misbruik te maken van een vermeende kwetsbaarheid in het login endpoint: login.(regio-naam).oraclecloud.com.
Volgens de aanvaller bevatten de gecompromitteerde gegevens onder meer:
- JKS-bestanden
- Versleutelde SSO-wachtwoorden
- Sleutelbestanden en JPS-sleutels van Enterprise Manager
De informatie zou op 21 maart 2025 te koop zijn aangeboden op dark web-forums, waarbij extra beloningen werden beloofd aan degenen die konden helpen bij het ontsleutelen van de SSO-wachtwoorden of het compromitteren van LDAP-gegevens.
Oracle heeft deze beweringen echter categorisch ontkend en officieel bevestigd dat er geen inbreuk heeft plaatsgevonden. De gepubliceerde gegevens zouden niet tot Oracle Cloud behoren, zoals Oracle aan BleepingComputer meldde.
Opmerkelijk is dat op de forums waar de gegevens aanvankelijk werden geplaatst, sommige gebruikers de echtheid van het lek in twijfel trokken. Zij suggereerden dat het om een testomgeving kon gaan en merkten op dat de gebruiker die de informatie plaatste weinig reputatie heeft binnen de community. Verschillende forumleden vragen om aanvullend bewijs om de authenticiteit van het incident te verifiëren.
Toch toont een screenshot opgeslagen in the Wayback Machine op 1 maart 2025 dat de aanvaller mogelijk een bestand heeft geüpload met daarin hun e-mailadres op de Oracle Cloud inlogserver.
Daarnaast is bevestigd dat sommige namen en bedrijven die voorkomen in door de aanvaller beschikbaar gestelde gegevens overeenkomen met echte bedrijfsprofielen.
Ondanks de ontkenning van Oracle en de mogelijke twijfels over de authenticiteit van het incident, raden wij aan om de volgende preventieve maatregelen te nemen binnen Oracle Cloud-tenants:
- 🔑 Reset wachtwoorden, vooral voor accounts met uitgebreide machtigingen, en dwing verplichte MFA af.
- 🔄 Roteer gevoelige inloggegevens direct (LDAP, SSO, certificaten en geheimen gerelateerd aan SAML/OIDC).
- 🛡️ Versterk beveiligingsprotocollen met strikte toegangscontroles, dwing het "least privilege-principe" af, en pas continue monitoring toe.