Oracle ग्राहकों ने पुष्टि की कि cloud breach में डेटा लीक हुआ था

 (bleepingcomputer.com)
2 पॉइंट द्वारा GN⁺ 2025-03-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Oracle ने Oracle Cloud के SSO login server में breach और 60 लाख accounts का डेटा चोरी होने से इनकार किया था, लेकिन कई कंपनियों से पुष्टि के बाद यह साबित हुआ कि threat actor द्वारा साझा किया गया data sample वैध है
  • 'rose87168' नाम के एक व्यक्ति ने Oracle Cloud server में breach करने का दावा किया और 60 लाख users के authentication data और encrypted passwords बेचने शुरू किए। इस threat actor का दावा है कि वह चोरी हुए SSO और LDAP passwords को decrypt कर सकता है, और उन्हें recover करने में मदद करने वाले लोगों के साथ डेटा साझा करने की पेशकश की।
  • threat actor ने कई text files जारी कीं, जिनमें database, LDAP data, और उन कंपनियों व सरकारी संस्थानों के 140,621 domains की सूची शामिल थी, जिन पर breach का असर पड़ने की आशंका है। कुछ company domains test के लिए लगते हैं, और प्रत्येक कंपनी के कई domains मौजूद हैं।
  • threat actor ने BleepingComputer को "login.us2.oraclecloud.com" server पर host की गई एक text file का Archive.org URL साझा किया। यह file दिखाती है कि threat actor Oracle server पर file बना सकता था, जो वास्तविक breach की ओर इशारा करती है।
  • हालांकि, Oracle ने Oracle Cloud में breach होने से इनकार किया और घटना पर अतिरिक्त सवालों का जवाब नहीं दिया। Oracle ने BleepingComputer से कहा, "Oracle Cloud में कोई breach नहीं हुआ। सार्वजनिक किए गए credentials Oracle Cloud के नहीं हैं। Oracle Cloud customers ने कोई breach या data loss अनुभव नहीं किया।"
  • यह इनकार BleepingComputer की खोजों से टकराता है। BleepingComputer को threat actor से अतिरिक्त samples मिले और उसने संबंधित कंपनियों से संपर्क कर डेटा की प्रामाणिकता जांची। गुमनाम रहने की शर्त पर डेटा की पुष्टि करने वाले company representatives ने कहा कि LDAP display names, email addresses, names और अन्य पहचान संबंधी जानकारी सही है और उन्हीं की है।
  • threat actor ने Oracle के साथ अपने email exchanges भी BleepingComputer को साझा किए। एक email में threat actor ने Oracle के security email (secalert_us@oracle.com) पर server hack की रिपोर्ट की थी।
  • एक अन्य email exchange में threat actor ने Oracle के @proton.me email address का उपयोग करने वाले एक व्यक्ति के साथ हुई बातचीत साझा की। BleepingComputer इस email address की पहचान या email exchange की प्रामाणिकता की पुष्टि नहीं कर सका, इसलिए उसने email address हटा दिया।
  • cyber security कंपनी Cloudsek को एक Archive.org URL मिला, जिससे पता चलता है कि "login.us2.oraclecloud.com" server 17 फ़रवरी 2025 तक Oracle Fusion Middleware 11g चला रहा था। breach की खबर आने के बाद Oracle ने इस server को offline कर दिया।
  • यह software version CVE-2021-35587 के रूप में ट्रैक की गई vulnerability से प्रभावित था, जिससे unauthenticated attacker Oracle Access Manager को compromise कर सकता है। threat actor का दावा है कि Oracle server breach में इसी vulnerability का इस्तेमाल किया गया।
  • BleepingComputer ने इस जानकारी के बारे में Oracle को कई बार email भेजे, लेकिन कोई जवाब नहीं मिला।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-03-28
Hacker News की राय
  • BleepingComputer ने कई कंपनियों से पुष्टि की कि threat actor द्वारा साझा किया गया डेटा sample वैध है
  • rose87168 ने BleepingComputer के साथ एक Archive.org URL साझा किया, और इस URL में login.us2.oraclecloud.com सर्वर पर होस्ट की गई एक text file शामिल है. यह फ़ाइल दिखाती है कि threat actor Oracle server पर फ़ाइल बना सकता था, जो वास्तविक breach की ओर इशारा करती है
  • Oracle को शुरू से ही वैधता स्वीकार कर लेनी चाहिए थी
  • breach के लिए कोई वास्तविक सज़ा नहीं है, और झूठ बोलना breach से भी बड़ा PR झटका दे सकता है
  • सिर्फ यह तथ्य कि Oracle ने 2021 में ज्ञात vulnerability वाले product पर login gateway host किया, काफ़ी चिंताजनक है
  • साफ़ सबूत के बावजूद Oracle का breach से इनकार करना बहुत ही typical है
  • Oracle के cloud product इस्तेमाल करने वाले user demographics को लेकर जिज्ञासा है, और उनके बारे में जो सुनने को मिलता है वह लंबे समय की पीड़ा का संकेत देता है
  • यह घटना उनके product पर भरोसा बढ़ाने में मदद नहीं करती
  • अगर आपने Oracle चलाया है, तो समझ सकते हैं कि patch क्यों नहीं किया गया. वे चीज़ों को आसान नहीं बनाते
  • threat actor का दावा है कि उसे Oracle के @proton.me email address इस्तेमाल करने वाले किसी व्यक्ति से यह संदेश मिला: "मुझे आपका email मिल गया. अब से इस email का उपयोग करते हैं. यह मिल जाए तो बताना."
  • ज़्यादातर public companies में email उन स्रोतों में से एक है जिन्हें कुछ समय तक (7 साल?) संरक्षित रखना पड़ता है. शायद यह record से बचने की कोशिश रही हो
  • दुर्भाग्य से data breach का stock price पर असर नहीं पड़ता. Oracle product इस्तेमाल करने वाली कंपनियों के तुरंत migrate करने की संभावना कम है
  • भविष्य की sales प्रभावित हो सकती हैं, और कुछ छोटी कंपनियाँ migrate कर सकती हैं. लेकिन Oracle इसे जितना हो सके उतना कम करके दिखाएगा
  • "इनकार करो. देरी करो. बचाव करो." सिर्फ health insurance का slogan नहीं है
  • यह जानने की जिज्ञासा है कि क्या Oracle Opera Cloud और Oracle NetSuite Cloud customer data भी चोरी हुआ. दुनिया भर में बहुत से hotel Opera + NetSuite इस्तेमाल करते हैं
  • 10 साल पहले मैं एक top 3 insurance broker में काम करता था, जब "cyber" policy लाई जा रही थी. जिज्ञासा है कि Oracle की policy किसने underwrite की, और उस tower में कितनी लागत आई. क्या policy थी ही नहीं? उम्मीद है D&O shareholder lawsuits को cover कर सके. प्रशासन से करीबी रिश्तों के कारण, rules की व्याख्या में गुंजाइश रहती है
  • Tyler Technologies ने California में sealed cases उजागर होने के लिए Judyrecords.com को दोष दिया, और अपने ख़राब obfuscation system के कारण इसे security breach बताया. ज़िम्मेदारी से बचना
  • breach का नियम #1 है कि email में breach शब्द नहीं लिखना चाहिए. इसलिए अंदाज़ा है कि उन्होंने इस पर अपने domain के बाहर चर्चा की
  • जिज्ञासा है कि Oracle ने इसे कितने समय तक नकारा. 3 दिन?
  • Larry और Trump काफ़ी क़रीबी हैं. Oracle OCI और SaaS CISO को निकाल देगा, या निकालना चाहिए