Az Oracle felhőszolgáltatását ért hatalmas támadásban olyan magyar cégek adatai kerülhettek veszélybe, mint a MOL, az OTP, a Coop, a Telekom vagy a 4IG.
A CloudSEK nevű kiberbiztonsági cég állításai szerint óriási támadás érte az Oracle felhő alapú rendszerét. A hackerek több, mint hatmillió rekordot tartalmazó adatbázist, illetve annak részleteit kezdték árulni a neten.
Az Oracle határozottan cáfolta a támadásról szóló állításokat, kijelentve, hogy felhőrendszerükben nem történt adatvédelmi incidens. A vállalat közleménye szerint a nyilvánosságra került hitelesítő adatok nem az Oracle Cloudhoz tartoznak, és egyetlen ügyfél sem jelentett adatvesztést vagy jogosulatlan hozzáférést.
A helyzet tisztázása érdekében a CloudSEK 2025. március 24-én további elemzést végzett, amely megerősítette, hogy egy fenyegetési szereplő valóban hozzáférhetett az Oracle Cloud egyes SSO végpontjaihoz, és érzékeny adatokat szivárogtathatott ki. A támadás során feltételezhetően a CVE-2021-35587 azonosítójú sérülékenységet használták ki. Az elemzés szerint a kompromittált adatok között JKS fájlok, titkosított SSO jelszavak és egyéb kulcsfájlok is szerepelnek, amelyek több mint 140 000 ügyfelet érinthetnek.
A CloudSEK tehát kitart az állítása mellett, amiket különféle bizonyítékokkal támaszt alá, amelyek ITT találhatóak. Ennél is izgalmasabb, hogy a közzétették a listát az érintett domain nevekről, amelyekről a támadás során adatokat szerezhettek a kiberbűnözők.
Ezen a listán pedig hatalmas, de tényleg hatalmas magyar szereplők is megtalálhatóak. Így például a MOL, a Telekom, a 4IG, a Budapest Bank, a MÁV Inform, hogy csak néhány komoly falatot említsünk. A CloudSEK létrehozott egy weboldalt, amelyen bárki ellenőrizheti, hogy milyen domainek kerültek veszélybe.
Mi történhet?
Egyelőre arról nincsenek információk, hogy a hackerek milyen információkhoz fértek hozzá. Fogalmunk sincs, hogy az említett magyar szereplőktől elvittek-e bármit, az ő adataikra rátették-e a kezüket.
A CloudSEK mindenesetre arra hívta fel a figyelmet, hogy a támadás ezekkel a következményekkel járhat:
- Tömeges adatexpozíció: A 6 millió rekord kompromittálása, beleértve az érzékeny hitelesítéssel kapcsolatos adatokat, növeli az illetéktelen hozzáférés és a vállalati kémkedés kockázatát.
- Hitelesítési adatok: A titkosított SSO és LDAP jelszavak, ha feltörik, további jogsértéseket tehetnek lehetővé az Oracle Cloud környezetekben.
- Zsarolás és váltságdíj követelései: A fenyegetés szereplői arra kényszerítik az érintett vállalatokat, hogy fizessenek az adatok eltávolításáért, ami növeli a pénzügyi és a hírnév kockázatát.
- Zero-Day Exploitation: A nulladik napi sebezhetőség feltételezett használata aggályokat vet fel az Oracle Cloud biztonságával és a lehetséges jövőbeni támadásokkal kapcsolatban.
- Az ellátási lánc kockázatai: A JKS és a kulcsfájlok nyilvánosságra hozatala lehetővé teheti a támadók számára, hogy több, egymással összekapcsolt vállalati rendszert elforduljanak és feltörjenek.
Az információra az egyik legprofibb magyar kibervédelmi a cég, a RavenForTech hívta fel a figyelmünket. Elkezdjük keresgetni a listán szereplő magyar domainek tulajdonosait, hogy mit tudnak erről az egészről, ha lesz érdemi válasz, frissítünk!
Frissítés:
Azóta tudtam beszélni az egyik értintettnek tűnő céggel, az Idomsofttal, és tőlük azt a tájékoztatást kaptam, hogy az Oracle megnyugtatta őket, hogy nem történt ilyen incidens.
Az Oracle magyarországi központja semmilyen felvilágítással nem akart szolgálni, kompetens emberrel nem is tudtam beszélni. Nincs ilyen ügy a kolléga állítása szerint.
A TechWorld IT – Biztonság rovatának támogatója a RavenForTech, hát ki más?
