Thought Leadership
Trotz Dementi: Eine unabhängige Prüfung bekräftigt Authentizität der Nutzerdaten aus dem angeblichem Oracle-Cloud-SSO-Server-Leak. Das widerspricht der offiziellen Darstellung des Softwarekonzerns
Während der US-amerikanische Software- und Hardwarehersteller jeglichen Einbruch in seine Systeme kategorisch abstreitet, verdichten sich die Hinweise auf einen massiven Datenverlust. Vergangene Woche tauchte in einschlägigen Foren ein Nutzer mit dem Pseudonym „rose87168“ auf, der behauptete, sich Zugang zu den Federated-Single-Sign-On-Servern von Oracle verschafft zu haben. Das angebliche Diebesgut: Authentifizierungsdaten und verschlüsselte Zugangsinformationen von rund sechs Millionen Nutzern. Der selbsternannte Hacker veröffentlichte Teilbestände der Daten, darunter eine Liste mit 140.621 betroffenen Domains von Unternehmen und Behörden.
Kunden bestätigen: Daten sind echt
Das IT-Sicherheitsportal BleepingComputer ging den Behauptungen nach und kontaktierte mehrere der mutmaßlich betroffenen Organisationen. Unter Zusicherung von Anonymität bestätigten Unternehmensvertreter die Authentizität der geteilten Datensätze – ein schwerwiegender Befund, der dem offiziellen Dementi von Oracle diametral entgegensteht. „Es gab keinen Sicherheitsvorfall bei Oracle Cloud. Die veröffentlichten Zugangsdaten stammen nicht aus der Oracle Cloud“, sagte das Unternehmen kurz nach den ersten Berichten über den möglichen Datendiebstahl.
„Die von uns geprüften Personendaten, LDAP-Verzeichniseinträge und E-Mail-Adressen sind korrekt und gehören zweifelsfrei zu unserer Organisation“, erklärte ein IT-Sicherheitsverantwortlicher gegenüber BleepingComputer. Ähnliche Bestätigungen kamen von weiteren kontaktierten Unternehmen.
Hinweise auf veraltete Middleware-Version
Sicherheitsexperten der Firma Cloudsek hatten im Vorfeld entdeckten, dass der betroffene Server „login.us2.oraclecloud.com“ offenbar bis Mitte Februar 2025 mit einer veralteten Version der Oracle Fusion Middleware (11g) betrieben wurde. Diese Software weist eine bekannte Sicherheitslücke (CVE-2021-35587) auf, die nicht-authentifizierten Angreifern potenziell kompletten Zugriff auf den Oracle Access Manager ermöglicht.
Der Angreifer behauptet, genau diese Schwachstelle ausgenutzt zu haben. Als Beweis für seinen erfolgreichen Einbruch präsentierte er eine selbst erstellte Textdatei auf dem Oracle-Server – ein starkes Indiz dafür, dass er tatsächlich Schreibzugriff auf das System hatte. Der betreffende Server wurde inzwischen vom Netz genommen.
Kommunikation über verschlüsselte Kanäle?
Der Cyberkriminelle behauptet zudem, Oracle-Mitarbeiter hätten nach seiner initialen Kontaktaufnahme über die offizielle Sicherheits-E-Mail-Adresse den weiteren Austausch über verschlüsselte ProtonMail-Konten fortsetzen wollen. Die Echtheit dieser Kommunikation konnte jedoch nicht unabhängig verifiziert werden.
Die Vorwürfe wiegen schwer: Sollten tatsächlich Single-Sign-On-Daten von sechs Millionen Nutzern kompromittiert sein, könnten Angreifer bei erfolgreicher Entschlüsselung der Passwörter potenziell auf zahlreiche Unternehmenssysteme zugreifen, die über diese zentralen Authentifizierungsdienste abgesichert sind.
