Un cibercriminal afirmó haber robado credenciales de Oracle Cloud, mientras que la compañía lo desmiente y enfrenta una demanda colectiva en Texas, Estados Unidos.
Oracle se encuentra en el centro de una polémica luego de que un presunto cibercriminal afirmara recientemente haber accedido a información sensible de clientes de Oracle Cloud. En paralelo, abogados especializados en demandas colectivas han iniciado un proceso legal en Texas, Estados Unidos, contra la empresa por dos supuestas violaciones de datos.
A finales de la semana pasada, un usuario de un foro de ciberdelincuencia anunció haber obtenido claves de seguridad y otra información confidencial de clientes de Oracle Cloud. Se alega que los datos fueron extraídos explotando una vulnerabilidad en uno de los servidores de inicio de sesión único (SSO) de la compañía. Sin embargo, Oracle ha rechazado estas afirmaciones de manera categórica.
«No ha habido ninguna vulneración de Oracle Cloud», declaró un portavoz de la empresa ante los medios. «Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos».
A pesar de estas declaraciones, el atacante publicó una captura de un archivo de texto supuestamente creado en un servidor de Oracle Cloud como prueba del acceso no autorizado. Además, según la organización de seguridad CloudSEK, la vulnerabilidad explotada podría estar relacionada con CVE-2021-35587, un fallo crítico conocido en Oracle Access Manager de Fusion Middleware. Existen códigos de explotación públicos para esta vulnerabilidad, lo que podría haber facilitado el presunto ataque.
El ciberdelincuente, identificado como “rose87168”, afirmó haber puesto a la venta en BreachForums seis millones de registros de archivos Java KeyStore de clientes de Oracle Cloud, conteniendo credenciales cifradas, claves de seguridad y otros datos sensibles. Se especula que miles de clientes podrían estar afectados. Además, el atacante afirmó haber intentado extorsionar a Oracle, exigiendo 20 millones de dólares en criptomonedas para no divulgar la información. Su petición habría sido rechazada.
En medio de estas acusaciones, Oracle también enfrenta una demanda colectiva en Texas. Un bufete de abogados acusa a la empresa de haber incumplido las leyes de notificación de violaciones de datos del estado de Texas. Según la demanda, Oracle no informó a los afectados dentro del plazo de 60 días, como lo exige la legislación.
El caso se centra en la supuesta vulneración de Oracle Cloud y menciona también posibles filtraciones de información de salud de Oracle Health, que también se ha conocido en días recientes. La demanda sostiene que Oracle no ha proporcionado detalles a los clientes sobre la seguridad de sus datos ni sobre cómo ocurrió el incidente. «Toda esta información es vital para las víctimas de una filtración de datos, más aún en una de esta magnitud», se lee en el documento judicial.
Los demandantes también alegan que Oracle falló en diseñar e implementar medidas de seguridad adecuadas, entrenar a su personal en protección de datos y detectar la intrusión de manera oportuna, y como consecuencia, los posibles afectados podrían enfrentar riesgos de robo de identidad y fraude en los próximos años.
El caso busca una compensación financiera por daños y gastos derivados del presunto incidente, así como compromisos de Oracle para mejorar su postura de seguridad.
Oracle no ha emitido comentarios adicionales sobre la demanda. Mientras tanto, la controversia sigue creciendo, con clientes y expertos en seguridad atentos a cualquier novedad sobre la posible brecha de seguridad.