Hace unos días un actor de amenazas apodado 'rose87168' afirmó haber comprometido los servidores de Adobe Cloud y comenzó a vender los supuestos datos de autenticación y contraseñas cifradas de 6 millones de usuarios.
El ciberdelincuente también señaló que las contraseñas robadas de SSO y LDAP podrían descifrarse utilizando la información contenida en los archivos robados y ofreció compartir parte de los datos con cualquiera que pudiera ayudar a recuperarlos.
Este cibermalo publicó numerosos archivos de texto que contenían una base de datos, datos LDAP y una lista de 140.000 dominios de empresas y agencias gubernamentales que habrían sido afectadas por la fecha.
Oracle negó haber sufrido una violación de seguridad en su nube y se negó a responder a más preguntas sobre el incidente. El gigante tecnológico aseguró que las credenciales publicadas no pertenecían a Oracle Cloud y que ningún cliente había experimentado una brecha ni perdido datos.
Sin embargo, la web de información sobre ciberseguridad Bleeping Computer sostenía que sí había habido pirateo, según evidenciaba una captura de pantalla de la página Wayback Machine de Internet Archive.
La firma de ciberseguridad Cloudsek también encontró un enlace de Archive.org que mostraba que el servidor "login.us2.oraclecloud.com" estaba ejecutando Oracle Fusion Middleware 11g hasta el 17 de febrero de 2025. Oracle desactivó este servidor después de que se informara sobre la supuesta brecha de seguridad.
¿Ha mentido Oracle?
Ahora el medio ha confirmado con varias compañías que las muestras de datos compartidas por el actor de amenazas son válidas.
Bleeping Computer contactó a las empresas asociadas y representantes de las mismas confirmaron la información. Estos, bajo la condición de anonimato, han corroborado que los nombres de pantalla LDAP, direcciones de email, nombres y otra información identificativa eran correctos y les pertenecían.
Por otro lado, el actor de amenazas ha compartido emails con Bleeping Computer donde se intercambia mensajes con Oracle. En uno de ellos el hacker contacta con el correo de seguridad de la compañía para informar de que había pirateado sus servidores.
En el intercambio de correos el actor de amenazas recibió un email de alguien que usaba @proton.me que indicaba: "Hemos recibido tus correos. Usemos esta cuenta para todas las comunicaciones de ahora en adelante. Avísame cuando lo recibas".