La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password crittografate di 6 milioni di utenti.
L’autore della minaccia ha anche affermato che le password SSO e LDAP rubate potevano essere decriptate utilizzando le informazioni nei file rubati e si è offerto di condividere alcuni dei dati con chiunque potesse aiutarli a recuperarli. La posizione di Oracle è stata quella di negare la violazione dei suoi server di accesso SSO federati Oracle Cloud e il furto dei dati degli account di 6 milioni di persone.
Molte aziende hanno confermato che i campioni di dati condivisi dall’autore della minaccia erano validi. Oracle ha dichiarato: “Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non sono per Oracle Cloud. Nessun cliente Oracle Cloud ha subito una violazione o ha perso dati”.
Advertising
126.687 domini colpiti dalla presunta violazione
Le aziende hanno dichiarato che i nomi visualizzati LDAP associati, gli indirizzi e-mail, i nomi propri e altre informazioni identificative erano tutti corretti e appartenevano a loro. L’attore della minaccia ha rilasciato più file di testo costituiti da un database, dati LDAP e un elenco di 140.621 domini di aziende che sarebbero state colpite dalla violazione (126.687 effettuando una group by). Va notato che alcuni dei domini aziendali sembrano di test e ci sono più domini per azienda. Per quanto riguarda le aziende italiane, abbiamo ben 1938 record all’interno dei domini colpite dalla presunta violazione (1806 effettuando un raggruppamento).
Inoltre l’autore della minaccia sostiene di aver avuto uno scambio di email con Oracle per segnalare di aver hackerato i server. “Ho esaminato attentamente l’infrastruttura della dashboard cloud e ho trovato un’enorme vulnerabilità che mi ha consentito di accedere in modo completo alle informazioni di 6 milioni di utenti”, si legge nell’e-mail che è stata visionata da BleepingComputer.
Cloudsek, come abbiamo visto nel precedente articolo, ha anche trovato un URL di Archive.org che mostra che il server “login.us2.oraclecloud.com” eseguiva Oracle Fusion Middleware 11g a partire dal 17 febbraio 2025. Da allora Oracle ha disattivato questo server dopo che è stata segnalata la notizia della presunta violazione.
TOP10 dei domini presenti nella lista dei 126.687 domini
Questa versione del software è stata interessata da una vulnerabilità tracciata come CVE-2021-35587 che sembrerebbe aver consentito di compromettere Oracle Access Manager. L’autore della minaccia ha affermato che questa vulnerabilità è stata utilizzata nella presunta violazione dei server Oracle.
Il file x.txt registrato nell’Internet Archive
La vulnerabilità utilizzata per questa presunta violazione sembra essere il CVE-2021-35587 che ha consentito la compromissione del server login[.]us2[.]oraclecloud[.]com. Oracle dopo aver negato l’attacco ha rapidamente disconnesso il server da Internet.
Questa vicenda, ancora avvolta nel mistero, non ha una chiara spiegazione. È certo che un gigante come Oracle stia ancora analizzando i fatti e presto pubblicherà un report ufficiale per fare luce sull’accaduto. Nel frattempo, c’è chi affronta la situazione con ironia, diffondendo meme che, almeno dagli elementi in nostro possesso, sembrano essere condivisibili.
rose87168 is shopping around for interest owners wanting to validate the @Oracle Cloud breach. It’s all about to finalize soon…
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.