A suposta invasão contra servidores da Oracle que aconteceu na última quinta-feira (20) ganhou um novo capítulo. O site Bleeping Computer teve acesso a uma nova amostra dos dados roubados e conseguiu confirmar a veracidade deles com clientes afetados.
A reportagem obteve documentos inéditos compartilhados após a invasão, contendo ainda mais exemplos de informações corporativas expostas e coletadas. Para checar se elas são mesmo verdadeiras, a página contatou empresas listadas nos arquivos.
Sob condição de anonimidade, todas as companhias confirmaram que os dados são verídicos e pertencem mesmo a funcionários desses locais. Eles incluem nome completo, endereço de email e outras informações de identificação. O site recebeu ainda um arquivo de texto do hacker rose87168, que reivindicou a autoria do ciberataque e colocou os dados à venda, contendo um endereço de email criado por ele no servidor do Oracle Cloud — o que seria uma prova concreta da brecha de segurança.
Por fim, rose87168 ainda enviou à página supostos emails que teriam sido trocados com um representante da Oracle. Nas mensagens, fica definido que os dois lados tratariam sobre a invasão apenas por aquele canal, mas não há uma confirmação desse conteúdo.
Relembre o ataque contra a Oracle
Em 20 de março, dados pessoais de seis milhões de supostos usuários da Oracle foram colocados à venda por rose87168 em um fórum. "As senhas SSO são criptografadas e elas podem ser descriptografadas com os arquivos disponíveis", disse ainda o invasor. Ele listou domínios das empresas afetadas e topou receber quantias específicas dessas companhias para remover informações sobre elas.
O TecMundo entrevistou rose87168 nesta semana e confirmou que, além de não integrar nenhum grupo, o ataque é uma forma de chantagem para obtenção de dinheiro.
A Zenox, que compartilhou com o TecMundo um relatório sobre o caso, classifica ele como um incidente de "severidade alta à segurança das organizações" parceiras da Oracle, incluindo empresas nacionais. "A análise preliminar dos dados indica um impacto gigante em organizações brasileiras, incluindo instituições financeiras, órgãos governamentais e empresas de infraestrutura crítica", diz o documento.
A reportagem original do Bleeping Computer trouxe ainda uma nova pista para o caso: segundo a Cloudsek, o servidor Oracle Fusion Middleware 11g que estava operandoao menos até a metade de fevereiro deste ano foi tirado do ar logo depois que a notícia da invasão foi revelada.
O que diz a empresa sobre o caso
No posicionamento enviado originalmente à imprensa, a Oracle diz que não foi vítima de qualquer ciberataque, que os dados divulgados não fazem parte da rede da Oracle Cloud e que nenhum dos seus usuários foi afetado por brechas de segurança. Nos últimos dias, a companhia não respondeu novos pedidos de nota e nem detalhou se há investigações sendo feitas até o momento.
Quer continuar informado sobre invasões de larga escala e outras novidades de proteção digital? Então fique ligado na seção de Segurança no site do TecMundo!
Categorias
