Oracle asegura que no hubo brecha de seguridad tras las afirmaciones de un hacker sobre 6 millones de registros robados

Oracle enfrenta serias acusaciones de un hacker que afirma haber robado datos sensibles, pero la compañía sostiene que no hubo brecha de seguridad.

Oracle ha declarado que no hubo una brecha en su plataforma Oracle Cloud, tras las afirmaciones de un actor de amenazas conocido como rose87168, quien asegura estar vendiendo 6 millones de registros de datos que supuestamente fueron robados de los servidores de inicio de sesión federados SSO de la compañía. Oracle aseguró que las credenciales publicadas no pertenecen a sus clientes y que ninguno de ellos ha perdido datos.

La afirmación de rose87168 incluye la venta de datos que contendrían contraseñas SSO encriptadas, archivos de claves y claves de JPS del administrador empresarial. Este actor de amenazas sostiene que accedió a los servidores de Oracle Cloud aproximadamente hace 40 días y ha ofrecido a las empresas la opción de pagar una suma de dinero para eliminar la información de sus empleados de la lista antes de que sea vendida.

Además, rose87168 intentó extorsionar a Oracle solicitándole 100,000 XMR a cambio de información sobre cómo accedió a los servidores. Sin embargo, la compañía se negó a realizar el pago, pidiendo en su lugar "toda la información necesaria para solucionar y parchear" la supuesta brecha.

Rose87168 ha compartido un enlace con información que, según él, demuestra el acceso a servidores de Oracle Cloud, incluyendo la carga de un archivo .txt con la dirección de su correo electrónico en el dominio de inicio de sesión de Oracle. A pesar de esto, BleepingComputer se ha puesto en contacto con Oracle para entender cómo fue posible dicha carga sin acceso a sus servidores.

La situación ha llevado a BleepingComputer a contactar a diversas empresas cuyos datos se afirman que han sido robados, con el fin de verificar la validez de dichas reclamaciones. Se espera una actualización una vez que se obtenga respuesta de estas compañías.