Datenleck in Oracle-Cloud: Neue Informationen, Unklarheit bleibt - Comretix Blog

Auch knapp eine Woche nach ersten Meldungen über ein Datenleck bei Oracle kommen noch immer neue Informationen ans Licht, dennoch bleiben Unklarheiten. In einem ersten Dementi hatte der US-Konzern einen Sicherheitsvorfall abgestritten, war aber in seiner Wortwahl auffallend spezifisch. Experten halten das für Absicht und verweisen auf authentisch wirkende Datensätze in Untergrundforen. heise security hat sich die Daten angesehen.

Es klang nach einem GAU für Oracle: Sechs Millionen Datensätze von Kunden der "Oracle Classic"-Cloudumgebung bot ein Akteur in einem der größten internationalen Darknet-Foren für illegalen Datenhandel feil. Doch der Konzern dementierte: "Es gab keinen Angriff auf Oracle Cloud". Die Hinweise verdichten sich nun, dass das Oracle-Dementi irreführend sein könnte. So vermutete der Sicherheitsforscher Kevin Beaumont in einem Blogartikel, Oracle "betreibe Wortklauberei".

Zudem hatte der Konzern ein weiteres Indiz, nämlich einen Archivlink zur "Wayback Machine", löschen lassen. Diesen hatte der Angreifer offenbar bereits Anfang März 2025 angelegt – er zeigt unter der Domain "login.us2.oraclecloud.com" eine Textdatei mit nur 19 Zeichen Inhalt: Der E-Mail-Adresse des Eindringlings. Der Angreifer hatte also offenbar zumindest kurzzeitig Zugriff auf eine zentrale Schnittstelle in der klassischen Oracle-Cloudumgebung. Am 1. April 2025, dem Veröffentlichungsdatum dieser Meldung, ist der Link bei der Wayback Machine wiederhergestellt.

Dreh- und Angelpunkt der Diskussion zwischen Angreifer, Oracle und Sicherheitsforschern ist hingegen die Frage, ob "die Oracle Cloud" erfolgreich angegriffen wurde oder nicht. Oracle selber dementiert dies, bedient sich dabei jedoch einer recht eigentümlichen und verdächtig präzisen Nomenklatur. Neben der aktuell vermarkteten Cloudumgebung (OCI - Oracle Cloud Infrastructure) gibt es noch "Cloud Classic", die Vorgängergeneration der Oracle-Cloud. Zwar bietet auch die klassische Cloud alle Funktionen der Oracle-IaaS-Wolke, doch der Konzern möchte Kunden auf die OCI umziehen, wie er auf der entsprechenden Produktseite an prominenter Stelle verrät.

Das Oracle-Dementi verneint explizit einen Angriff auf "Oracle Cloud", mithin also die modernere OCI. Es scheint also sicher, dass Kunden, die nur diese nutzen und nie die Vorgängerumgebung verwendet haben, nicht betroffen sind. Ein Testzugang von heise security, den wir im November 2024 angelegt haben, taucht jedenfalls weder in der Domainliste noch in den Demo-Daten auf.

Apropos Demo-Daten: Kostenlose Warenproben gehören beim Verkauf geklauter Datensätze in Untergrundforen zum guten Ton. Möglichst aktuell sollen sie sein, dürfen dabei aber nicht zu viel verraten, um den Kauf nicht unattraktiv zu machen. Die Schnupperdaten zum Oracle-Leck enthalten daher nur eine Liste mit über 140.000 Domains, einen etwa zwei Jahre alten Auszug aus einer Oracle-Nutzerdatenbank und einen vermutlich sieben Jahre alten Textauszug eines LDAP-Nutzerbaums. Das sorgte unter Forumsteilnehmern für rege Diskussion, zumal der oder die Angreifer Security-Analysten einen erweiterten, aktuelleren Datensatz zur Verfügung stellten.

Neu, frisch und doppelplusgut: Der Leaker lud im Verlauf des 31. März zusätzliche Daten hoch, um Zweifler zu überzeugen.

(Bild: Screenshot / cku)

So auch heise security: Uns liegt eine 10.000 Datensätze umfassende CSV-Datei vor, die neben Namen und verschlüsselten Zugangsdaten auch die E-Mail-Adressen und Tenant-IDs, also Oracle-interne Kundenkennungen enthält. Allein unser Probedatensatz umfasst über 1500 eindeutige Tenant-Kennungen, es handelt sich also nicht um einen Angriff auf einen einzelnen Oracle-Kunden.

In der Kundenliste sind immerhin über 2100 Domains mit der Endung ".de" enthalten, darunter viele bekannte Unternehmen und DAX-Konzerne. Auch Banken, Lebensmitteldiscounter, Bildungseinrichtungen, kommunale IT-Dienstleister und viele mittelständische Unternehmen finden sich dort sowie einige Domains, die eher auf Privatleute oder Testzugänge hindeuten. Wir haben einige Stichproben genommen und konnten Namen aus dem Leck aktuellen Mitarbeitenden der genannten Unternehmen zuordnen. Zudem meldete sich ein Betroffener direkt in der Redaktion.

Der Sicherheitsdienstleister CloudSEK bietet besorgten Admins und Unternehmen nun eine Möglichkeit zur Überprüfung an. In einem Online-Formular können sie ihren Haupt-Domainnamen eintragen – dieser wird mit der vom Angreifer bereitgestellten Liste abgeglichen. Da diese offenbar auf dem Domain-Teil der E-Mail-Adressen beruht, erscheinen auch Freemail-Anbieter wie GMX, Proton oder mailbox.org unter den 140.000 Domains.

Eher kurios mutet ein weiteres Fundstück an, das im Dunstkreis des Einbruchs auftauchte. Der knapp anderthalbstündige Mitschnitt einer Videokonferenz nebst Screensharing zeigt offenbar eine Sitzung zwischen Support-Technikern von Oracle rund um ein Update einer Datenbankumgebung in der "Oracle Classic"-Cloud. Die Techniker richten gemeinsam Datenbankserver und Serverumgebungen ein – dabei fliegen auch Root-Kennwörter für mittlerweile nicht mehr erreichbare Cloud-Server durchs Bild.

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden Betreutes Administrieren: Oracle-Techniker verwalten im Video gemeinsam eine Cloud-Umgebung

Das Video ist nicht aktuell, sondern stammt offenbar aus dem Jahr 2019. Das Security-Analyseunternehmen Hudson Rock hat das Video auf Youtube hochgeladen, auch ein Transkript auf Github lädt zum Schmökern ein.

Aktuelleren Datums ist offenbar ein am 31. März auf einem Filehosting-Dienst hochgeladenes zwanzigsekündiges Filmchen, das vorgeblich eine Chat-Konversation des Oracle-Kundendiensts mit dem als "rose87168" bekannten Angreifer zeigt. Offenbar hatte dieser sich im Namen eines geschädigten Oracle-Kunden in dessen Supportportal eingeklinkt und bat einen sichtlich überforderten Mitarbeiter um Informationen zur weiteren Vorgehensweise.

Rückrufnummer? LOL, nein! - der Oracle-Angreifer im Dialog mit dem Kundendienst.

Wir haben Oracle vor dem Hintergrund der neuen Informationen um eine aktualisierte Stellungnahme gebeten. Insbesondere interessierte uns, ob der Konzern sein ursprüngliches Dementi auch auf die "Oracle Classic"-Cloud erweitert und wie er die Authentizität der bereits veröffentlichten Daten beurteilt. Bis zum Nachmittag des 1. April erreichte uns jedoch keine Rückmeldung – sobald diese eintrifft, aktualisieren wir diese Meldung.

Erste Berichte über einen Einbruch oder ein Datenleck in einer der Oracle-Clouds erschienen Ende März. Wie der oder die Eindringlinge sich Zugang zu den sensiblen Daten verschafften, ist nach wie vor unklar. Mehrere Experten vermuten, dass der Zugriff über einen Exploit für die Sicherheitslücke mit der CVE-ID CVE-2021-35587 erfolgte, die bereits im Jahr 2022 repariert wurde.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)