Ein unbekannter Cyberkrimineller mit dem Pseudonym „rose87168“ gibt an, rund sechs Millionen Datensätze aus Oracle-Cloud-Systemen entwendet zu haben. Laut diesen Behauptungen umfasst das gestohlene Material unter anderem Java Key Store (JKS)-Dateien, verschlüsselte Passwörter für Single Sign-On (SSO) sowie gehashte Passwörter für das Lightweight Directory Access Protocol (LDAP). Zudem sollen auch Schlüsseldateien und Sicherheitsschlüssel der Enterprise Manager Java Platform Security (JPS) betroffen sein.

Schätzungen zufolge könnten über 140.000 Unternehmen weltweit von diesem Vorfall betroffen sein. Dadurch entstehen erhebliche Bedenken hinsichtlich der Sicherheit von Cloud-Infrastrukturen.

Der Angreifer behauptet, eine Schwachstelle im Anmeldeverfahren von Oracle Cloud ausgenutzt zu haben, wobei insbesondere die Subdomain login.(region-name).oraclecloud.com ins Visier genommen wurde. Diese soll veraltete Middleware verwendet haben, die möglicherweise durch eine bekannte Schwachstelle im Oracle Access Manager (CVE-2021-35587) angreifbar war.
Angeblich gestohlene Daten im Darknet angeboten

Berichten zufolge werden die Daten auf Darknet-Marktplätzen, darunter Breach Forums, zum Kauf angeboten. Der Hacker fordert offenbar Lösegeld von betroffenen Organisationen, um eine Veröffentlichung der Informationen zu verhindern.

Zusätzlich soll „rose87168“ andere Cyberkriminelle dazu aufgerufen haben, sich an der Entschlüsselung der SSO- und LDAP-Passwörter zu beteiligen, wobei als Anreiz Belohnungen geboten werden.

Oracle hat diese Vorwürfe entschieden zurückgewiesen. In einer Stellungnahme vom 21. März 2025 erklärte das Unternehmen, dass keine Kundendaten kompromittiert wurden und die kursierenden Zugangsdaten nicht mit seinen Systemen in Verbindung stehen.

Die Aktivität des Hackers lässt sich bis Januar 2025 zurückverfolgen. Angeblich soll er bereits rund 40 Tage vor der Veröffentlichung der gestohlenen Daten Zugriff auf das betroffene System gehabt haben.

Empfohlene Sicherheitsmaßnahmen für Oracle-Cloud-Nutzer

• Zugangsdaten ändern: Alle SSO-, LDAP- und zugehörigen Passwörter sofort aktualisieren und starke Passwortrichtlinien sowie Multi-Faktor-Authentifizierung (MFA) durchsetzen.
• Systeme überwachen: Sicherheitslösungen einsetzen, um verdächtige Aktivitäten oder unautorisierte Zugriffsversuche frühzeitig zu erkennen.
• Forensische Untersuchung: Eine umfassende Analyse der Systeme durchführen, um mögliche Schwachstellen zu identifizieren und Gegenmaßnahmen einzuleiten.
• Mit Oracle in Kontakt treten: Verdächtige Vorfälle melden und sich über empfohlene Sicherheitsmaßnahmen informieren.
• Sicherheitsrichtlinien verstärken: Strenge Zugriffsbeschränkungen implementieren und erweiterte Protokollierungsmechanismen aktivieren.

Dieser Vorfall zeigt, wie raffiniert und gezielt Cyberangriffe auf Cloud-Dienste durchgeführt werden. Unternehmen sollten daher auf regelmäßige Sicherheitsupdates, proaktive Bedrohungsanalysen und effektive Schutzmaßnahmen setzen, um ihre Daten zu sichern.

Ein wirksamer Schutz gegen solche Angriffe erfordert die konsequente Umsetzung etablierter IT-Sicherheitsstandards wie ISO 27001, TISAX und PCI-DSS sowie die Einhaltung strenger Datenschutzvorgaben (DSGVO/BDSG). Durch ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) lassen sich Risiken systematisch identifizieren, bewerten und minimieren.

Maßnahmen wie regelmäßige Penetrationstests, starke Zugriffskontrollen und eine sichere Verschlüsselung sensibler Daten erhöhen die Widerstandsfähigkeit gegenüber Cyberbedrohungen. Zudem sollten Unternehmen Schulungen für Mitarbeiter durchführen, um Sicherheitsbewusstsein zu schaffen und potenzielle Angriffspunkte frühzeitig zu erkennen.

Eine umfassende Sicherheitsstrategie schützt nicht nur vor finanziellen Schäden, sondern stärkt auch das Vertrauen von Kunden und Partnern.