3月21日,网络安全公司CloudSEK发现一名代号为"rose87168"的威胁行为者声称正在出售从甲骨文公司(Oracle)云平台窃取的600万条记录。这些数据包括Java密钥库(Java KeyStore,JKS)文件、加密的单点登录(Single Sign-On,SSO)密码、密钥文件和企业管理器JPS密钥。
CloudSEK指出,login.(region-name).oraclecloud.com可能存在未公开的漏洞,导致未经授权的访问和数据泄露。甲骨文公司在向Dark Reading发表声明时否认了此次数据泄露事件。
为验证数据泄露的真实性,CloudSEK展示了威胁行为者提供的10,000行客户信息样本,以及在"login.us2.oraclecloud.com"域名上创建的攻击证据文件。
CloudSEK通过背景调查确认,涉事服务器在数据泄露前数周已被甲骨文公司关闭。分析显示,样本数据包含真实的甲骨文云客户信息,且相关域名确实是生产环境的SSO设置。
此次数据泄露事件可能影响超过1,500家独立组织,存在导致未经授权访问、企业间谍活动、财务损失和声誉受损等多重风险。多位独立安全研究人员也得出类似结论。
CloudSEK表示将发布更多细节协助调查,并强调其一贯秉持透明和循证的工作原则。目前,CloudSEK与安全专家持续监控事态发展,呼吁甲骨文公司披露更多信息。