IT-Konzern in Erklärungsnot

Oracle-Kunden bestätigen Echtheit gestohlener Daten

Oracle
Bildquelle: Cristi Croitoru/Shutterstock.com

Trotz Dementi: Eine unabhängige Prüfung bekräftigt Authentizität der Nutzerdaten aus dem angeblichem Oracle-Cloud-SSO-Server-Leak. Das widerspricht der offiziellen Darstellung des Softwarekonzerns

Während der US-amerikanische Software- und Hardwarehersteller jeglichen Einbruch in seine Systeme kategorisch abstreitet, verdichten sich die Hinweise auf einen massiven Datenverlust. Vergangene Woche tauchte in einschlägigen Foren ein Nutzer mit dem Pseudonym „rose87168“ auf, der behauptete, sich Zugang zu den Federated-Single-Sign-On-Servern von Oracle verschafft zu haben. Das angebliche Diebesgut: Authentifizierungsdaten und verschlüsselte Zugangsinformationen von rund sechs Millionen Nutzern. Der selbsternannte Hacker veröffentlichte Teilbestände der Daten, darunter eine Liste mit 140.621 betroffenen Domains von Unternehmen und Behörden.

Anzeige

Kunden bestätigen: Daten sind echt

Das IT-Sicherheitsportal BleepingComputer ging den Behauptungen nach und kontaktierte mehrere der mutmaßlich betroffenen Organisationen. Unter Zusicherung von Anonymität bestätigten Unternehmensvertreter die Authentizität der geteilten Datensätze – ein schwerwiegender Befund, der dem offiziellen Dementi von Oracle diametral entgegensteht. „Es gab keinen Sicherheitsvorfall bei Oracle Cloud. Die veröffentlichten Zugangsdaten stammen nicht aus der Oracle Cloud“, sagte das Unternehmen kurz nach den ersten Berichten über den möglichen Datendiebstahl.

„Die von uns geprüften Personendaten, LDAP-Verzeichniseinträge und E-Mail-Adressen sind korrekt und gehören zweifelsfrei zu unserer Organisation“, erklärte ein IT-Sicherheitsverantwortlicher gegenüber BleepingComputer. Ähnliche Bestätigungen kamen von weiteren kontaktierten Unternehmen.

Hinweise auf veraltete Middleware-Version

Sicherheitsexperten der Firma Cloudsek hatten im Vorfeld entdeckten, dass der betroffene Server „login.us2.oraclecloud.com“ offenbar bis Mitte Februar 2025 mit einer veralteten Version der Oracle Fusion Middleware (11g) betrieben wurde. Diese Software weist eine bekannte Sicherheitslücke (CVE-2021-35587) auf, die nicht-authentifizierten Angreifern potenziell kompletten Zugriff auf den Oracle Access Manager ermöglicht.

Anzeige

Der Angreifer behauptet, genau diese Schwachstelle ausgenutzt zu haben. Als Beweis für seinen erfolgreichen Einbruch präsentierte er eine selbst erstellte Textdatei auf dem Oracle-Server – ein starkes Indiz dafür, dass er tatsächlich Schreibzugriff auf das System hatte. Der betreffende Server wurde inzwischen vom Netz genommen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Kommunikation über verschlüsselte Kanäle?

Der Cyberkriminelle behauptet zudem, Oracle-Mitarbeiter hätten nach seiner initialen Kontaktaufnahme über die offizielle Sicherheits-E-Mail-Adresse den weiteren Austausch über verschlüsselte ProtonMail-Konten fortsetzen wollen. Die Echtheit dieser Kommunikation konnte jedoch nicht unabhängig verifiziert werden.

Die Vorwürfe wiegen schwer: Sollten tatsächlich Single-Sign-On-Daten von sechs Millionen Nutzern kompromittiert sein, könnten Angreifer bei erfolgreicher Entschlüsselung der Passwörter potenziell auf zahlreiche Unternehmenssysteme zugreifen, die über diese zentralen Authentifizierungsdienste abgesichert sind.

Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.