Oracle 고객, 클라우드 침해로 인해 데이터가 유출된 것이 맞다고 확인

 (bleepingcomputer.com)
2P by GN⁺ 6일전 | ★ favorite | 댓글 1개
  • Oracle은 Oracle Cloud의 SSO 로그인 서버 침해 및 600만 명의 계정 데이터 도난을 부인했으나, 여러 회사와의 확인을 통해 위협 행위자가 공유한 데이터 샘플이 유효함을 확인함
  • 'rose87168'라는 인물이 Oracle Cloud 서버를 침해했다고 주장하며, 600만 사용자에 대한 인증 데이터와 암호화된 비밀번호를 판매하기 시작함. 이 위협 행위자는 도난당한 SSO 및 LDAP 비밀번호를 복호화할 수 있다고 주장하며, 이를 복구하는 데 도움을 줄 사람에게 데이터를 공유하겠다고 제안함.
  • 위협 행위자는 데이터베이스, LDAP 데이터, 그리고 침해로 영향을 받은 것으로 추정되는 회사 및 정부 기관의 140,621개 도메인 목록이 포함된 여러 텍스트 파일을 공개함. 일부 회사 도메인은 테스트용으로 보이며, 회사당 여러 도메인이 존재함.
  • 위협 행위자는 BleepingComputer에 "login.us2.oraclecloud.com" 서버에 호스팅된 텍스트 파일의 Archive.org URL을 공유함. 이 파일은 위협 행위자가 Oracle 서버에 파일을 생성할 수 있음을 나타내며, 실제 침해를 시사함.
  • 그러나 Oracle은 Oracle Cloud의 침해가 없었다고 부인하며, 사건에 대한 추가 질문에 응답하지 않음. Oracle은 "Oracle Cloud의 침해는 없었다. 공개된 자격 증명은 Oracle Cloud의 것이 아니다. Oracle Cloud 고객은 침해나 데이터 손실을 경험하지 않았다"고 BleepingComputer에 전함.
  • 이 부인은 BleepingComputer의 발견과 모순됨. BleepingComputer는 위협 행위자로부터 추가 샘플을 받고 관련 회사에 연락하여 데이터의 진위를 확인함. 익명을 조건으로 데이터를 확인한 회사 대표들은 LDAP 표시 이름, 이메일 주소, 이름 등 식별 정보가 정확하며 자신들에게 속한다고 확인함.
  • 위협 행위자는 Oracle과의 이메일 교환을 BleepingComputer에 공유함. 한 이메일에서는 위협 행위자가 Oracle의 보안 이메일(secalert_us@oracle.com)로 서버 해킹을 보고함.
  • 다른 이메일 교환에서는 위협 행위자가 Oracle의 @proton.me 이메일 주소를 사용하는 사람과의 대화를 공유함. BleepingComputer는 이 이메일 주소의 신원이나 이메일 교환의 진위를 확인할 수 없어 이메일 주소를 삭제함.
  • 사이버 보안 회사 Cloudsek는 "login.us2.oraclecloud.com" 서버가 2025년 2월 17일 기준으로 Oracle Fusion Middleware 11g를 실행 중인 Archive.org URL을 발견함. Oracle은 침해 소식이 보도된 후 이 서버를 오프라인으로 전환함.
  • 이 소프트웨어 버전은 CVE-2021-35587로 추적되는 취약점에 영향을 받았으며, 인증되지 않은 공격자가 Oracle Access Manager를 손상시킬 수 있음. 위협 행위자는 이 취약점이 Oracle 서버 침해에 사용되었다고 주장함.
  • BleepingComputer는 이 정보에 대해 Oracle에 여러 차례 이메일을 보냈으나 응답을 받지 못함.
GN⁺ 6일전  [-]
Hacker News 의견
  • BleepingComputer가 여러 회사와 확인한 결과, 위협 행위자가 공유한 데이터 샘플이 유효함
  • rose87168이 BleepingComputer에 Archive.org URL을 공유했으며, 이 URL은 "login.us2.oraclecloud.com" 서버에 호스팅된 텍스트 파일을 포함하고 있음. 이 파일은 위협 행위자가 Oracle 서버에 파일을 생성할 수 있음을 나타내며 실제 침해를 시사함
  • Oracle은 처음부터 유효성을 인정했어야 했음
  • 침해에 대한 실질적인 처벌이 없으며, 거짓말하는 것이 침해 자체보다 더 나쁜 PR 타격을 줄 수 있음
  • Oracle이 2021년에 알려진 취약점이 있는 제품에 로그인 게이트웨이를 호스팅했다는 사실만으로도 상당히 불안함
  • Oracle이 명백한 증거에도 불구하고 침해를 부인하는 것은 전형적임
  • Oracle의 클라우드 제품을 사용하는 인구 통계가 궁금하며, 그들에 대한 이야기는 장기적인 고통을 시사함
  • 이번 사건은 그들의 제품에 대한 신뢰를 높이는 데 도움이 되지 않음
  • Oracle을 운영했다면 왜 패치되지 않았는지 이해할 수 있을 것임. 그들은 쉽게 만들지 않음
  • 위협 행위자가 Oracle의 @proton.me 이메일 주소를 사용하는 사람으로부터 "당신의 이메일을 받았다. 이제부터 이 이메일을 사용하자. 받으면 알려줘."라는 메시지를 받았다고 주장함
  • 이메일은 대부분의 공개 회사에서 일정 기간(7년?) 보관해야 하는 소스 중 하나임. 아마도 기록을 피하려는 시도일 것임
  • 데이터 침해는 불행히도 주가에 영향을 미치지 않음. Oracle 제품을 사용하는 회사들은 당장 이주할 가능성이 낮음
  • 미래의 판매가 영향을 받을 수 있으며, 일부 작은 회사들은 이주할 수 있음. 그러나 Oracle은 이를 최대한 축소할 것임
  • "부인. 지연. 방어."는 건강 보험 슬로건만이 아님
  • Oracle Opera Cloud와 Oracle NetSuite Cloud 고객 데이터도 도난당했는지 궁금함. 전 세계 많은 호텔들이 Opera + NetSuite를 사용함
  • 10년 전 상위 3대 보험 중개사에서 "사이버" 정책이 도입될 때 일했음. Oracle의 정책을 누가 인수했는지, 그 타워에서 얼마나 많은 비용이 들었는지 궁금함. 정책이 없었나? D&O가 주주 소송을 커버할 수 있기를 바람. 행정부와의 친밀한 관계, 규칙 해석의 여지가 있음
  • Tyler Technologies가 캘리포니아에서 봉인된 사건을 노출한 것에 대해 Judyrecords.com을 비난했으며, 그들의 잘못된 난독화 시스템으로 인해 보안 침해라고 주장함. 책임을 회피함
  • 침해의 규칙 #1은 이메일에 침해라는 단어를 쓰지 않는 것임. 그래서 그들의 도메인 외부에서 논의한 것으로 추측됨
  • Oracle이 얼마나 오랫동안 이를 부인했는지 궁금함. 3일인가?
  • Larry와 Trump는 밀접한 관계임. Oracle은(또는 해야 함) OCI와 SaaS CISO를 해고할 것임
답변달기