Uma suposta violação na infraestrutura de nuvem da Oracle trouxe preocupações ao setor de tecnologia. Enquanto a empresa nega qualquer falha, pesquisadores de segurança cibernética apresentam evidências que sugerem o oposto. Dados sensíveis de milhares de clientes podem estar em risco, e especialistas recomendam medidas preventivas imediatas.Uma nova controvérsia de segurança emergiu envolvendo a Oracle Corp., após um hacker alegar ter violado a infraestrutura de nuvem da empresa e extraído dados sensíveis.
Embora a Oracle tenha negado qualquer brecha, alguns pesquisadores de cibersegurança afirmam que as evidências apontam para o contrário.
A história começou no fórum de hackers BreachForums, quando um indivíduo com o pseudônimo “rose87168” afirmou em 20 de março ter explorado uma vulnerabilidade crítica no Oracle Access Manager para acessar a Oracle Cloud Infrastructure.
O hacker alegou ter roubado mais de 6 milhões de registros relacionados a mais de 140 mil clientes, incluindo credenciais, chaves OAuth2 e configurações internas de locatários.
Ao surgirem os primeiros relatos há uma semana, um porta-voz da Oracle declarou ao The Register que “não houve qualquer violação da Oracle Cloud” e que “as credenciais publicadas não são da Oracle Cloud. Nenhum cliente da Oracle Cloud experimentou uma violação ou perdeu qualquer dado”.
No entanto, tanto o hacker quanto agora especialistas em segurança dizem o contrário.
De acordo com pesquisas realizadas pela Trustwave Holdings Inc., o agente da ameaça ofereceu múltiplas opções de compra para os dados supostamente roubados, incluindo pacotes categorizados por nome de empresa e tipo de credencial.
O hacker também forneceu amostras para respaldar suas afirmações, incluindo um banco de dados com informações pessoalmente identificáveis, registros LDAP e uma lista de empresas potencialmente afetadas.
A equipe de inteligência de ameaças da Trustwave observa que a estrutura e o conteúdo dos dados de amostra parecem consistentes com ambientes reais, particularmente aqueles que utilizam os sistemas SSO e LDAP da Oracle.
Se autênticos, isso sugeriria uma exposição significativa de credenciais sensíveis que poderia levar a mais exploração por meio de phishing ou acesso não autorizado.
Em seu post de blog de 25 de março, a Trustwave enfatizou que as negações da Oracle não foram respaldadas por contra-evidências técnicas detalhadas.
A empresa aconselha os clientes a não descartarem as alegações de imediato, especialmente considerando que alguns usuários afetados confirmaram que partes dos dados vazados são válidas.
Outros pesquisadores também sugerem que a violação foi legítima.
Jake Williams, membro do corpo docente da IANS Research e vice-presidente de pesquisa e desenvolvimento na Hunter Strategy, disse ao Cybersecurity Dive que tem “pouca dúvida” de que ocorreu um comprometimento no ambiente da Oracle.
“Há evidências diretas de que um agente de ameaça foi capaz de enviar dados para a raiz web de um servidor de login que estava sendo usado ativamente, então não pode ser apenas um ‘endpoint legado’, como alguns sugeriram”, afirmou Williams.
Embora a Oracle continue negando que qualquer violação tenha ocorrido e o escopo do incidente, caso tenha realmente acontecido, ainda seja incerto, o risco para as empresas afetadas pode ser substancial se as alegações do hacker forem comprovadas.
Seguindo o conselho da Trustwave, as organizações devem tomar medidas proativas para ficarem do lado seguro, incluindo a rotação de credenciais potencialmente expostas, habilitação de autenticação multifator e aumento da monitoração para atividades suspeitas.
