Vergangene Woche wurde publik, dass bei Oracle möglicherweise Daten abgeflossen sind. Im berüchtigten Breachforum behauptete ein Nutzer mit dem Namen Rose87168, dass er die Server des amerikanischen Tech-Konzerns gehackt und dabei Daten von rund 6 Millionen Nutzerinnen und Nutzern aus dem Lightweight Directory Access Protocol (LDAP) sowie dem Single-Sign-On (SSO) gestohlen habe.

Kurz nach dem Bekanntwerden der Geschichte dementierte Oracle einen möglichen Cyberangriff. "Es gab keine Sicherheitsverletzung bei der Oracle Cloud", versicherte das Unternehmen. Die veröffentlichten Anmeldedaten würden nicht mit Oracle Cloud in Verbindung stehen und es seien auch keine Oracle-Cloud-Kunden betroffen, so das Statement des Konzerns damals.

In der Zwischenzeit verdichteten sich jedoch die Anzeichen, dass die Daten wohl doch bei Oracle abgeflossen sind. So zeigte eine Analyse des Cyber­security-Anbieters Cloudsek, dass es "schlüssige Beweise" für einen Breach bei Oracle gibt. In einem Blogbeitrag beschreibt das Unternehmen, wie die Aktivitäten des Hackers entdeckt wurden.

Nach Angaben von Cloudsek konnte der Angriff zu einem kompromittierten SSO-Endpunkt zurückverfolgt werden, den der Hacker zuvor ausnutzte, um die Datensätze von mehr als 140'000 Tenants zu stehlen. Zudem fand das Unternehmen auch Beweise dafür, dass der Angreifer die kompromittierte Domain aktiv zur Authentifizierung von API-Anfragen über OAuth2-Tokens verwendet hatte.

Auch in Bezug auf die Echtheit der Informationen gibt es immer mehr Hinweise, die darauf hindeuten, dass die Daten ursprünglich von Oracle stammen. So hat die Sicherheitsfirma Hudson Rock laut einem Post von CTO Alon Gal auf Linkedin rund 10'000 Datensätze von Rose87168 erhalten, um diese zu analysieren.

Dabei hat Gal laut eigenen Angaben auch Kunden von Hudson Rock kontaktiert, die in den Datensätzen erwähnt werden. Er bat sie, zu bestätigen, ob die erwähnten Benutzerkonten existieren, ob die IDs übereinstimmen, ob es sich um Produktions- oder Testumgebungen handelt und ob die Konten Zugriff auf sensible Daten haben. Mittlerweile haben drei Unternehmen bestätigt, dass die Daten authentisch sind.

Eine Firma bestätigte, dass der in der Stichprobe erwähnte Tenant tatsächlich existiere und für eine produktive Umgebung eingesetzt werde. Die Tatsache, dass die Daten Zugang zu Produktionsumgebungen mit sensiblen Daten bieten, macht die Situation besonders besorgniserregend.

Der Hacker hat das Datensample auch mit Cloudsek geteilt, um seinen Behauptungen weiteren Nachdruck zu verleihen. Die Untersuchung des Cybersecurity-Anbieters hat gezeigt, dass die Stichprobe allein Daten von mehr als 1500 Organisationen umfasst, was auf einen erheblichen Sicherheits­verstoss hinweist.

In einem Textfile zum Datensample werden auch die URLs der mutmasslich betroffenen Unternehmen aufgeführt. Dort finden sich auch viele Schweizer Unternehmen. So werden beispielsweise Swisscom, Post, die Detailhändler Migros und Coop, die Hochschulen ETH und EPFL, die Versicherung Group Mutuel, der Branchen­verband SwissICT, die Banken Julius Bär, Migros Bank und Raiffeisen International, sowie die Schweizer Informatikdienstleister Abacus, Ergon und Inventx genannt.

"Der Umfang und die Struktur der durchgesickerten Informationen machen es extrem schwierig, diese zu fälschen, was die Glaubwürdigkeit der Sicher­heits­ver­letzung unterstreicht", hält Cloudsek fest. Zudem würden die Tenant-IDs darauf hinweisen, dass der Hacker auch tatsächlich Zugang zu Produktions­umgebungen hatte.

Oracle streitet einen möglichen Cyberangriff auf die Oracle Cloud weiterhin ab. Gegenüber 'Heise' schrieb das Unternehmen am 25. März erneut: "Die veröffentlichten Anmeldedaten sind nicht für die Oracle Cloud Infrastruktur (OCI). Keiner der OCI-Kunden hat einen Verstoss erlitten oder Daten verloren."