La récente affaire de fuite de données chez **Oracle Cloud** prend une ampleur inquiétante. Un pirate, utilisant le pseudonyme **rose87168**, a partagé une base de données contenant environ **6 millions d’enregistrements**, signalant ainsi une potentielle compromission du serveur de **Single Sign-On (SSO)** d’Oracle. Ce piratage a été associé à une vulnérabilité critique, la **CVE-2021-35587**, qui touche **Oracle Access Manager**.
Les révélations proviennent du fournisseur de cybersécurité **CloudSek**, lequel a été le premier à mettre en lumière la fuite, suggérant que les **données compromises** incluraient des clés de sécurité. Bien qu’Oracle ait systématiquement nié toute violation, en affirmant que les informations divulguées ne concernent pas Oracle Cloud et qu’aucun client n’a subi de perte, des retours de plusieurs entreprises clients indiquent le contraire.
Des clients, après avoir été contactés par **HudsonRock**, un fournisseur d’analyse avancée des menaces, ont confirmé l’existence de certains utilisateurs mentionnés dans les échantillons de données fournis. Pour certains, ces informations provenaient d’instances opérationnelles, ce qui soulève de sérieuses préoccupations quant à la **sécurité de l’infrastructure cloud d’Oracle**.
**Ensar Seker**, RSSI chez **SOCRadar**, a préconisé que cet incident pourrait rappeler la célèbre faille de **Solarwinds**, soulignant le risque que représente une vulnérabilité unique pour de nombreuses organisations. Seker a également questionné l’efficacité des mesures de suivi d’Oracle, en s’interrogeant sur le moment où l’entreprise a pris connaissance de la vulnérabilité et sur la manière dont elle a réagi.
Cette crise illustre les enjeux cruciaux associés à la **sécurité des données dans le cloud**, un domaine où la confiance est primordiale. Alors que les menaces s’intensifient, les entreprises doivent renforcer leurs mesures de cybersécurité et rester vigilantes face aux incidents potentiels.
Pour plus d’informations, reportez-vous à l’article complet sur Le Monde Informatique.