Az ellopott adatok homályos világában a hírnév a legfontosabb. Ha egy fenyegetőző nem tudja bizonyítani, hogy a fogás jogos, akkor a hitelessége – és a fizetési napja – elpárolog. Úgy tűnik, pontosan ez történik az állítólagos Oracle adatszivárgással. 2025. március 21-én a CloudSEK XVigil-je felfedezett egy fenyegetést okozó szereplőt, a „rose87168”-at, aki az Oracle Cloud SSO-ból és LDAP-jából kiszivárgott 6 millió rekordot árult. Az adatok JKS-fájlokat, titkosított SSO-jelszavakat, kulcsfájlokat és vállalatkezelői JPS-kulcsokat tartalmaznak. Az Oracle tagadja a jogsértést, és azóta is váratlan ellenállásba ütközik, amikor a hacker megpróbálja eladni az ellopott információkat sötét webes fórumokon. A vásárlók nem harapnak. Ami még rosszabb, egyesek nyíltan megkérdőjelezik, hogy a jogsértés valódi-e egyáltalán. Ami ezt még érdekesebbé teszi, az egy új fiók létrehozása a fórumon, amelyről egyesek azt állítják, hogy az Oracle az ellopott adatok hamis legitimitását gerjeszti. Csatlakozzon hozzám az Oracle Breach értékesítésével kapcsolatos aktuális problémákkal kapcsolatos kutatásaim során.
A kezdeti visszaesés: nagy horderejű célpont.
Rose87168, a fenyegetettség szereplője először egy jól ismert kiberbűnözési fórumon bukkant fel, és az Oracle belső adatait tartalmazó kincsesbánya birtokában büszkélkedhet. A legtöbb nagy értékű kiszivárogtatáshoz hasonlóan homályosak voltak a részletek – éppen annyira, hogy felkeltsék az érdeklődést anélkül, hogy bármit is ingyen adtak volna. Néhány szerkesztett minta, egy árcédula és egy ígéret, amelyet a komoly vásárlók ellenőrizhetnek vásárlás előtt.
Az adatvédelmi incidens a következő elemeket tartalmazza:
Azt gondolhatnánk, hogy az Oracle feltörését könnyű eladni, de az azonnali ajánlatok helyett a szkepticizmus árasztotta el a fonalat. Mióta az Oracle tagadja a jogsértésre vonatkozó állításokat, a fórumtársak több bizonyítékot kértek, megkérdőjelezve a szemétlerakás legitimitását. Ez nem ritka – a vásárlók nem akarják, hogy átverjék őket –, de ebben az esetben a visszaszorítás szokatlanul agresszív volt.
Árnyékolt viták.
Az Oracle adatszivárgásával kapcsolatos viták újdonság számomra. Az adatleírás eladása általában egyszerű és rövid tranzakció. A jelenlegi állapot kaotikus és tele van szkepticizmussal a társak körében. Beszélgetések zajlanak az Oracle iránti gyűlöletről és arról, hogy nem ismerik el a biztonsági hiányosságokat. Az egyik ilyen beszélgetés arról szól, hogy az egyik fenyegetőző felfedte az adatbázisszoftver hibáját, és az Oracle megtorolja, hogy feledésbe merült. Mondanom sem kell, úgy érzem, hogy a kiberbűnözők valami ismeretlen okból nem rajongnak az Oracleért.
Az árnyék a szobában.
Van egy másik állítás is, amely szerint a fenyegetőző valójában „bennfentes”. Ez persze csak állítás, de érdekes csavart ad ehhez a történethez. A beszélgetés egy szereplőhöz megy, aki kijelenti, hogy legalább 10 000 sornyi mintára van szükség a jogsértés állításának érvényesítéséhez. Természetesen mások is csatlakoznak. Ugyanebben a beszélgetésben valaki, a tester27 azt állítja, hogy a CloudSEK tervezte a jogsértést? A színész azt állítja, hogy a CloudSEK az alkalmazottjával együtt tervezte meg a jogsértést, és rózsaként dolgoznak… a fenyegetőzőként. Egészen odáig mennek, hogy az egész beszélgetést rögzítették, és a partnerük Alon Gal. Van valami alapja ennek az állításnak? Jelenleg ez csak egy vád, de megkérdőjelezi, hogy ez igaz-e. Úgy értem, mindannyian láttunk már bennfentes fenyegetéseket és bűncselekményeket cégeknél.
Azt hittem, mindent láttam, amit látni fogok, és ez az adatszivárgás nem fog eladni. Új beszélgetés alakult ki a fenyegetőzővel. Ez egy olyan fiók volt, amelyet 2025.03.25-én hoztak létre, és az adatkiíratás jogszerűségére buzdította a szereplőt. Néhányan még azt is kijelentették, hogy az új fiók valójában az Oracle vagy egy harmadik fél tulajdona volt, hogy megakadályozzák az adatok eladását.
Megjelenik egy titokzatos kihívó
Az egyik leghangosabb kritikus egy újonnan létrehozott fiók volt, amely azonnal megkérdőjelezte az eladó állításait. A fenyegetettség szereplője, aki már élén állt, gyorsan megvádolta a fiókot, hogy kapcsolatban áll az Oracle-lel. Ha ez igaz, akkor nem ez lenne az első alkalom, hogy egy vállalat (vagy egy harmadik féltől származó fenyegetés-felderítő cég) beszivárog egy fórumba, hogy megzavarja az eladást. Azzal, hogy bizonyítékot követel, rámutat a következetlenségekre, és csalónak nevezi a színészt, a fiók megkísérelheti megrendíteni a vevők bizalmát, így az ellopott adatok lényegében értéktelenné válnak. A hacker rászólt, és ragaszkodott hozzá, hogy az adatok valódiak – de a kár már megtörtént.
Először is nézzük meg azt a fiókot, amelyik a vádakat megfogalmazza. Ez egy újonnan létrehozott fiók, nincs rangja és hírneve. Ezek azok a számlák, amelyek nagyon gyanúsak, ha tranzakciókról és műveletekről van szó. Az utolsó dolog, amit egy új tag tesz, az az, hogy ranggal és hírnévvel kihívja a tagokat. A legjobb esetben nyilvánvalóvá és gyanússá teszi a dolgokat.
A beszélgetés során az új fiók megkérdőjelezi az adatürítés legitimitását, és a fenyegetettség szereplője azonnal azt állítja, hogy az új fiók az Oracle vagy egy harmadik fél. A beszélgetés futótűzként kezd terjedni, és hamarosan a legtöbb tag az Oracle oldalán áll, és az új fiók azt állítja, hogy az adatürítés hamis.
Ez nem csak egyszeri probléma. A vállalati adatok eladása mindig szerencsejáték. A gyorsan pénzzé tehető személyes adatokkal ellentétben a vállalati kiszivárogtatásokhoz bizalomra van szükség. A vásárlónak el kell hinnie, hogy az adatok értékesek, kizárólagosak, és nem sétálnak csapdába. Az Oracle nevével még nagyobb a tét. Az ilyen méretű vállalatoknál teljes csapatok dolgoznak a jogsértések nyomon követésére és enyhítésére. Bármely vevő, akit ellopott Oracle-adatokkal kereskedett, jogi célkeresztbe kerülhet – vagy ami még rosszabb, értéktelen szemetet vásárolhat.
The Fallout: Egy alku kétségben
Az eladás egyelőre bizonytalan. A fenyegetőző színész, akit frusztráltak a vádak, duplázott, és újabb "bizonyítékokat" tett közzé, hogy megmentse az üzletet. De a kár már visszafordíthatatlan lehet. A vásárlók tétováznak, és ha hamarosan senki sem lép előre, a hacker kénytelen lesz engedni az árat – vagy üres kézzel távozni. Az Oracle számára ez ritka győzelem lehet a kiberbiztonság macska-egér játékában. Ha a cégnek (vagy valakinek, aki a nevében dolgozik) sikerült megmérgeznie a kutat, akkor hatékonyan semlegesítette a jogsértést anélkül, hogy magának az adatnak vissza kellett volna állítania.
De a hackernek? Egy olyan piacon, ahol a bizalom a minden, lehet, hogy csak a kemény úton tanulták meg, hogy egyes ellopott áruk egyszerűen túlságosan sérültek ahhoz, hogy eladják.
