Tuần trước, một tên tội phạm mạng đã lên BreachForums để nhận trách nhiệm về vụ tấn công Oracle Cloud. Trên diễn đàn tội phạm, tin tặc tuyên bố đã xâm nhập vào máy chủ Oracle và đánh cắp 6 triệu bản ghi dữ liệu. Để chứng minh quan điểm của mình, tin tặc đã tải lên một số mẫu và gửi một loạt bằng chứng cho các đồng nghiệp của chúng tôi tại Bleeping Computer. Ông khẳng định vụ tấn công xảy ra trong khoảng thời gian từ ngày 9 đến ngày 15 tháng 2 năm 2025 và chỉ có một máy chủ bị ảnh hưởng.
Bất chấp bằng chứng mà tin tặc đưa ra, Oracle vẫn kiên quyết phủ nhận việc mình là nạn nhân của một cuộc tấn công mạng. Nhóm người Mỹ đảm bảo rằng "không có vi phạm nào đối với Oracle Cloud" và không có "khách hàng nào của Oracle Cloud gặp phải vi phạm hoặc mất dữ liệu"..
Các công ty được phỏng vấn đã xác nhận rằng tên hiển thị, địa chỉ email, tên và các thông tin nhận dạng khác theo Giao thức truy cập thư mục nhẹ (LDAP) là chính xác và thuộc về họ. Đây cũng là ý kiến của các nhà nghiên cứu tại CloudSEK, những người đã phát hiện ra vụ vi phạm vào ngày 21 tháng 3 năm 2025.
Các nhà nghiên cứu của CloudSEK tuyên bố rằng tin tặc đã khai thác một lỗ hổng nghiêm trọng trong mã của Oracle Access Manager (OAM), một thành phần cốt lõi của bộ Oracle Identity and Access Management (IAM). Bằng cách khai thác lỗ hổng này, anh ta đã có thể xâm nhập vào Oracle Access Manager.
Công ty sẽ từ chối đàm phán. Trong khi Oracle vẫn chưa xác nhận hoặc phủ nhận sự tồn tại của vụ xâm nhập, thì tội phạm mạng đã đưa tất cả thông tin thu được trong cuộc tấn công vào thị trường đen. Ông chỉ rõ rằng "các công ty có thể trả một số tiền cụ thể để xóa thông tin của nhân viên khỏi danh sách trước khi thông tin đó được bán.".
Như Clément Domingo chỉ ra, dữ liệu có thể được sử dụng để đánh cắp danh tính của nhân viên thông qua thông tin đăng nhập bị xâm phạm, truy cập dữ liệu nhạy cảm của công ty, phát động các cuộc tấn công chuỗi cung ứng hoặc thậm chí thực hiện các cuộc tấn công bằng phần mềm tống tiền.
Nguồn: Bleeping Computer
Bất chấp bằng chứng mà tin tặc đưa ra, Oracle vẫn kiên quyết phủ nhận việc mình là nạn nhân của một cuộc tấn công mạng. Nhóm người Mỹ đảm bảo rằng "không có vi phạm nào đối với Oracle Cloud" và không có "khách hàng nào của Oracle Cloud gặp phải vi phạm hoặc mất dữ liệu"..
Một vụ rò rỉ đã được xác nhận
Vài ngày sau các sự kiện, các phương tiện truyền thông chuyên ngành đã có thể xác minh tính xác thực của dữ liệu do tội phạm mạng cung cấp từ một số công ty sử dụng Oracle Cloud. Các mẫu dữ liệu được chia sẻ trên BreachForums thực sự là xác thực.Các công ty được phỏng vấn đã xác nhận rằng tên hiển thị, địa chỉ email, tên và các thông tin nhận dạng khác theo Giao thức truy cập thư mục nhẹ (LDAP) là chính xác và thuộc về họ. Đây cũng là ý kiến của các nhà nghiên cứu tại CloudSEK, những người đã phát hiện ra vụ vi phạm vào ngày 21 tháng 3 năm 2025.
Một sự cố bảo mật nghiêm trọng
Đối với nhà nghiên cứu Clément Domingo, rõ ràng là "Oracle Cloud là nạn nhân của cuộc tấn công mạng lớn nhất trong lịch sử". Vụ rò rỉ dữ liệu sẽ ảnh hưởng đến "140.000 công ty trên toàn thế giới" trên toàn thế giới", theo tuyên bố của người bán trên BreachForums. Tin tặc, hoạt động dưới bí danh rose87168, thực tế đã đăng danh sách đầy đủ các công ty bị ảnh hưởng trực tuyến.Các nhà nghiên cứu của CloudSEK tuyên bố rằng tin tặc đã khai thác một lỗ hổng nghiêm trọng trong mã của Oracle Access Manager (OAM), một thành phần cốt lõi của bộ Oracle Identity and Access Management (IAM). Bằng cách khai thác lỗ hổng này, anh ta đã có thể xâm nhập vào Oracle Access Manager.
Dữ liệu để bán
Đầu tiên, tin tặc đã yêu cầu tiền chuộc hơn 22 triệu đô la Oracle. Kẻ tấn công tuyên bố đã gửi một email nêu rằng anh ta đã «đàoé trong cơ sở hạ tầng bảng điều khiển đám mây và tìm thấy một lỗ hổng lớn cho phép tôi truy cập đầy đủ vào thông tin của 6 triệu người dùng.Công ty sẽ từ chối đàm phán. Trong khi Oracle vẫn chưa xác nhận hoặc phủ nhận sự tồn tại của vụ xâm nhập, thì tội phạm mạng đã đưa tất cả thông tin thu được trong cuộc tấn công vào thị trường đen. Ông chỉ rõ rằng "các công ty có thể trả một số tiền cụ thể để xóa thông tin của nhân viên khỏi danh sách trước khi thông tin đó được bán.".
Như Clément Domingo chỉ ra, dữ liệu có thể được sử dụng để đánh cắp danh tính của nhân viên thông qua thông tin đăng nhập bị xâm phạm, truy cập dữ liệu nhạy cảm của công ty, phát động các cuộc tấn công chuỗi cung ứng hoặc thậm chí thực hiện các cuộc tấn công bằng phần mềm tống tiền.
Nguồn: Bleeping Computer
