Il y a de l’inquiétude autour d’Oracle. Deux fuites de données y ont eu lieu la semaine dernière. L’entreprise nie l’une d’elles, mais des chercheurs indépendants confirment les faits.
Un agresseur a affirmé avoir accédé aux systèmes de connexion des clients d’Oracle Cloud le 20 mars. Six millions d’enregistrements auraient ainsi été volés, dont des mots de passe d’authentification unique (SSO) cryptés et des certificats de sécurité.
Oracle avait précédemment déclaré dans une réponse à The Register qu’Oracle Cloud n’avait pas été affecté par une fuite de données. Selon l’entreprise, les données d’identification partagées par l’agresseur présumé n’ont rien à voir avec Oracle Cloud. Oracle indique également que ses clients n’ont pas été touchés par une fuite ou une perte de données.
‘Les données divulguées sont bel et bien authentiques’
Mais plusieurs firmes de sécurité, dont Hudson Rock, affirment que la fuite a bel et bien eu lieu. Selon Alon Gal, cofondateur et CTO de Hudson Rock, son entreprise a examiné un échantillon de données et y a trouvé des informations concernant divers clients. Ces clients ont confirmé que les données sont authentiques.
CloudSEK a également analysé la fuite et signale aussi que les données partagées par le hacker sont authentiques. CloudSEK ajoute qu’un service SSO d’Oracle a été affecté, en abusant de CVE-2021-35587. Il s’agit là d’une ancienne vulnérabilité dans Oracle Access Manager, pour laquelle un correctif est disponible depuis début 2022.
Fuite chez Oracle Health
En outre, Oracle Health a informé ses clients par courrier d’une potentielle fuite de données, au cours de laquelle des données clients pourraient avoir été volées. Bleeping Computer a pu consulter un courrier d’Oracle Health indiquant qu’un ancien serveur qui n’avait pas encore migré vers Oracle Cloud, avait été compromis. Bloomberg signale que le FBI enquête sur la fuite, car les agresseurs pourraient exiger une rançon.
Alon Gal, cofondateur et CTO de Hudson Rock, remet en question l’approche d’Oracle: ‘Sans le moindre mot d’Oracle à ce jour (que font la Cybersecurity and Infrastructure Security Agency, la Security Exchange Commission et la Federal Trade Commission pour l’obliger à le faire?, ndlr), Rose87168 révèle le passage à une nouvelle phase, éventuellement en vendant ou en divulguant les données. C’est assez fou qu’Oracle nie cette fuite, alors qu’elle a été vérifiée de manière indépendante par de nombreuses firmes de cybersécurité’, selon Gal.
En collaboration avec Dutch IT-Channel.
