یک افشاکننده در حال تلاش برای فروش داده‌های مربوط به نقض احتمالی اوراکل است اما کسی خرید نمی‌کند

در دنیای مبهم داده های دزدیده شده، شهرت همه چیز است. اگر یک بازیگر تهدید نتواند ثابت کند که حمل و نقل آنها مشروع است، اعتبار آنها - و حقوق آنها - از بین می رود. این دقیقاً همان چیزی است که به نظر می رسد با نقض داده های ادعایی اوراکل اتفاق می افتد. در 21 مارس 2025، CloudSEK's XVigil یک عامل تهدید به نام "rose87168" را کشف کرد که 6 میلیون رکورد استخراج شده از SSO و LDAP Oracle Cloud را می فروخت. داده‌ها شامل فایل‌های JKS، رمزهای عبور SSO رمزگذاری‌شده، فایل‌های کلیدی و کلیدهای JPS مدیر سازمانی است. اوراکل این نقض را انکار کرده است و حتی از آن زمان تلاش هکرها برای فروش اطلاعات دزدیده شده در انجمن های وب تاریک، با مقاومت غیرمنتظره ای روبرو شده است. خریداران گاز نمی گیرند. بدتر از آن، برخی آشکارا این سوال را مطرح می کنند که آیا این نقض اصلا واقعی است یا خیر. چیزی که این موضوع را جالب‌تر می‌کند، ایجاد یک حساب کاربری جدید در انجمن است که برخی ادعا می‌کنند اوراکل مشروعیت کاذب داده‌های دزدیده شده را تحریک می‌کند. در تحقیقات من در مورد مسائل جاری مربوط به فروش نقض اوراکل به من بپیوندید.

https://www.bleepingcomputer.com/news/security/oracle-customers-confirm-data-stolen-in-alleged-cloud-breach-is-valid/

سقوط اولیه: یک هدف با مشخصات بالا.

بازیگر تهدید rose87168 برای اولین بار در یک انجمن شناخته شده جرایم سایبری ظاهر شد و دارای گنجینه ای از داده های داخلی اوراکل بود. مانند بسیاری از افشاگری‌های با ارزش بالا، آن‌ها جزئیات را مبهم نگه می‌داشتند - فقط به اندازه‌ای که بدون ارائه هیچ چیز رایگان، علاقه را برانگیخت. چند نمونه اصلاح شده، یک برچسب قیمت و قولی که خریداران جدی می توانند قبل از خرید آن را تأیید کنند.

نقض داده شامل موارد زیر است:

ممکن است فکر کنید که شکست اوراکل به راحتی فروخته می شود، اما به جای پیشنهادات فوری، شک و تردید به این موضوع سرازیر شد. از آنجایی که اوراکل ادعاهای نقض را رد کرده است، اعضای انجمن برای اثبات بیشتر تلاش کردند و مشروعیت زباله را زیر سوال بردند. این غیر معمول نیست - خریداران نمی خواهند مورد کلاهبرداری قرار گیرند - اما در این مورد، پس زدن به طور غیرعادی تهاجمی بود.

بحث های سایه ای

بحث های پیرامون نقض داده های Oracle چیزی است که برای من جدید است. معمولاً فروش یک داده dump مستقیم است و یک معامله کوتاه است. وضعیت کنونی آشفته و پر از شک و تردید در میان همتایان است. صحبت هایی در مورد نفرت از Oracle و عدم پذیرش آنها نسبت به آگاهی از ضعف های امنیتی وجود دارد. یکی از این گفتگوها در مورد یکی از عوامل تهدید است که یک اشکال در نرم افزار پایگاه داده خود را فاش می کند و اوراکل در حال تلافی برای حسابرسی به فراموشی است. نیازی به گفتن نیست، من احساس می کنم که underbelly مجرمان سایبری به دلایل نامعلومی از طرفداران اوراکل نیستند.

سایه در اتاق

همچنین ادعای دیگری وجود دارد مبنی بر اینکه عامل تهدید در واقع یک "خودی" است. البته این فقط یک ادعاست، اما یک پیچ و تاب جذاب به این داستان اضافه می کند. این مکالمه به بازیگری می‌پردازد که بیان می‌کند که برای تأیید ادعای نقض باید حداقل 10000 خط نمونه وجود داشته باشد. البته دیگران نیز به آن می پیوندند. در همان مکالمه شخصی به نام tester27 ادعا می کند که CloudSEK این رخنه را طراحی کرده است؟ این بازیگر بیان می‌کند که CloudSEK با کارمندش این نقض را برنامه‌ریزی کرده است، و آنها به عنوان رز یا بازیگر تهدید کار می‌کنند. آنها تا آنجا پیش می روند که می گویند کل مکالمه را ضبط کرده اند و شریک زندگی آنها آلون گال است. آیا مبنایی برای این ادعا وجود دارد؟ در حال حاضر این فقط یک اتهام است، اما این سوال را ایجاد می کند که آیا چنین چیزی درست است یا خیر. منظورم این است که همه ما قبلاً تهدیدات و جنایات خودی را در شرکت‌ها دیده‌ایم.

فکر می‌کردم همه چیزهایی را که قرار است ببینم دیده‌ام و این نقض داده‌ها به فروش نمی‌رسد. گفتگوی جدیدی با بازیگر تهدید مطرح شد. این اکانتی بود که در تاریخ 25/3/2025 ایجاد شد و مشروعیت داده dump را به بازیگر القا می کرد. برخی حتی اظهار داشتند که حساب جدید در واقع متعلق به Oracle یا شخص ثالثی است تا از فروش داده ها جلوگیری کند.

یک چالشگر مرموز ظاهر می شود

یکی از سرسخت‌ترین منتقدان، حساب کاربری تازه‌ای بود که بلافاصله ادعاهای فروشنده را مورد تردید قرار داد. بازیگر تهدید، که در حال حاضر در خطر بود، به سرعت حساب کاربری را متهم کرد که به اوراکل مرتبط است. اگر درست باشد، این اولین باری نیست که یک شرکت (یا یک شرکت اطلاعاتی تهدید شخص ثالث) به یک فروم برای ایجاد اختلال در فروش نفوذ می کند. با درخواست اثبات، اشاره به تناقضات، و کلاهبردار خواندن بازیگر، این حساب ممکن است سعی کند اعتماد خریدار را متزلزل کند و اساساً داده های دزدیده شده را بی ارزش کند. هکر به شدت انتقاد کرد و اصرار داشت که داده ها واقعی هستند - اما آسیب قبلاً وارد شده بود.

ابتدا اجازه دهید به حسابی که این اتهامات را مطرح می کند نگاه کنیم. این یک حساب کاربری تازه ایجاد شده است، بدون رتبه و شهرت. اینها حساب هایی هستند که در مورد معاملات و اقدامات بسیار مشکوک هستند. آخرین کاری که یک عضو جدید انجام می دهد این است که اعضای دارای رتبه و شهرت را به چالش بکشد. در بهترین حالت همه چیز را بدیهی و مشکوک می کند.

در طول مکالمه، حساب جدید مشروعیت تخلیه داده را به چالش می کشد و عامل تهدید فوراً ادعا می کند که حساب جدید اوراکل یا شخص ثالث است. مکالمه شروع به پخش شدن می کند و به زودی اکثر اعضا طرف اوراکل هستند و حساب جدیدی که ادعا می کند داده dump جعلی است.

این موضوع فقط یک بار نیست. فروش داده های شرکتی همیشه یک قمار است. برخلاف اطلاعات شخصی که می‌توان به سرعت درآمدزایی کرد، افشای اطلاعات شرکتی نیازمند اعتماد است. یک خریدار باید باور داشته باشد که داده‌ها ارزش دارند، انحصاری هستند و به دام نمی‌روند. با ضمیمه شدن نام اوراکل، مخاطرات حتی بالاتر است. شرکت‌هایی با این اندازه، تیم‌های کاملی برای ردیابی و کاهش تخلفات دارند. هر خریداری که در حال معامله با داده‌های اوراکل به سرقت رفته باشد، ممکن است خود را در تلاقی قانونی یا بدتر از آن خرید آشغال‌های بی‌ارزش بیابد.

Fallout: A Deal in Doubt

در حال حاضر، فروش در هاله ای از ابهام است. بازیگر تهدید، که از اتهامات ناامید شده است، دو برابر شده و در تلاش برای نجات معامله، "اثبات" بیشتری را ارسال کرده است. اما ممکن است آسیب از قبل جبران ناپذیر باشد. خریداران مردد هستند و اگر کسی به زودی قدمی به جلو نگذارد، هکر ممکن است مجبور شود قیمت را کاهش دهد یا دست خالی از آنجا خارج شود. برای اوراکل، این ممکن است یک پیروزی نادر در بازی موش و گربه امنیت سایبری باشد. اگر شرکت (یا شخصی که از طرف آن کار می‌کند) موفق به مسمومیت چاه شده باشد، بدون نیاز به بازیابی خود داده‌ها، به طور موثری این رخنه را خنثی کرده‌اند.

اما برای هکر؟ در بازاری که اعتماد همه چیز است، ممکن است به سختی یاد گرفته باشند که برخی از کالاهای دزدیده شده به سادگی بیش از حد آسیب دیده اند و نمی توانند بفروشند.