Potentielle fuite de données liée au SSO Oracle Cloud

Ce jeudi 20 mars 2025, un membre de BreachForums utilisant le pseudonyme « rose87168 » a revendiqué la compromission des systèmes d’authentification d’Oracle Cloud, affirmant avoir exfiltré environ 6 millions d’enregistrements affectant plus de 140 000 organisations.

Les données compromises incluraient :

• Des identités complètes (nom complet, nom d’utilisateur, e-mail, numéro de téléphone)
• Des mots de passe SSO et LDAP chiffrés
• Des fichiers JKS (Java Key Store)
• Des fichiers de clés JPS

L’attaquant a notamment partagé un fichier listant les organisations concernées par la fuite de données et leur propose une suppression des données avant revente (liste des organisations accessibles à l’adresse hxxps://anonfile.io/f/KUJuSgIX).

L’équipe de recherche de CloudSEK a notamment identifié l’exploitation de la CVE-2021-35587 sur l’infrastructure d’Oracle Cloud, ciblant les endpoints de type : login.<region>.oraclecloud.com

Toutefois, dans un article publié le 22 mars par The Register, Oracle dément catégoriquement toute compromission de son infrastructure cloud. Selon l’entreprise, les informations proposées à la vente ne proviennent pas de ses systèmes Oracle Cloud. Oracle affirme qu’il n’existe aucune preuve de fuite de données depuis ses environnements, et que les allégations diffusées par certains chercheurs ou forums sont inexactes.

Si cette fuite de données est avérée, celle-ci pourrait être utilisée par des acteurs malveillants pour mener des attaques contre les organisations concernées.

L’équipe de recherche de CloudSEK a publié un outil en ligne permettant de vérifier une potentielle compromission de votre nom de domaine :