Oracle 100+ कंपन्यांचे उल्लंघन करण्यासाठी हॅकर्सने दुरुपयोग केलेल्या सुरक्षा बगबद्दल चेतावणी देते

ओरॅकलने आपल्या कॉर्पोरेट ग्राहकांना चेतावणी दिली की त्याच्या पीपलसॉफ्ट सॉफ्टवेअरमध्ये गंभीर-रेट केलेली असुरक्षा आहे, ज्याचा वापर मोठ्या कंपन्यांद्वारे वेतन आणि मानवी संसाधने व्यवस्थापित करण्यासाठी केला जातो, एका दिवसानंतर एका सायबर क्राइम गटाने मास-हॅकिंग मोहिमेचा भाग म्हणून दोषाचा गैरवापर करण्याचे श्रेय घेतले.

कंपनी सुरक्षा सल्लागार प्रकाशित केले शायनीहंटर्स या हॅकिंग ग्रुपने पीपलसॉफ्ट सर्व्हरचा वापर करणाऱ्या १०० हून अधिक संस्थांचा भंग केल्याचा दावा केल्यानंतर गुरुवारी.

Mandiant, Google च्या मालकीचे सुरक्षा युनिट जे सायबर हल्ल्यांची चौकशी करते, एका ब्लॉग पोस्टमध्ये चेतावणी दिली नवीन ओरॅकल दोष हा तोच बग आहे ज्याचा शायनीहंटर्स ग्रुप त्याच्या हॅकिंग मोहिमेत पीपलसॉफ्टच्या ग्राहकांना लक्ष्य करत दुरुपयोग करत आहे.

ओरॅकल, ज्याने लेखनाच्या वेळी असुरक्षिततेसाठी पॅच जारी केला नाही, सल्लागारात म्हटले आहे की पासवर्ड सारख्या कोणत्याही प्रमाणीकरणाची आवश्यकता न घेता इंटरनेटवर बगचा वापर केला जाऊ शकतो.

टेक जायंटने शिफारस केली आहे की जे ग्राहक पीपलसॉफ्ट सॉफ्टवेअर वापरतात त्यांनी शोषण टाळण्यासाठी त्याचे कमी करणे लागू करावे.

बुधवारी, शायनीहंटर्स सदस्याने रीडला सांगितले की या टोळीने पीपलसॉफ्ट सर्व्हरमधील न पटलेल्या दोषाचा गैरवापर करून कंपन्यांशी तडजोड केली. दोष शून्य-दिवस म्हणून ओळखला जातो कारण या प्रकरणात प्रभावित कंपनीला, Oracle ला तो शोधून काढण्यापूर्वी त्याचे निराकरण करण्यासाठी वेळ नव्हता.

Mandiant ने पुष्टी केली की त्यांनी “100 पेक्षा जास्त जागतिक संस्थांना” देखील सूचित केले आहे, त्यापैकी बहुतेक युनायटेड स्टेट्समधील, त्यांच्या संभाव्य असुरक्षित प्रणालींमध्ये प्रवेश प्रतिबंधित करण्याच्या प्रयत्नात. सायबर सिक्युरिटी ग्रुपने म्हटले आहे की यापैकी सुमारे दोन तृतीयांश संस्था उच्च शिक्षणात आहेत, जे शायनीहंटर्सने पूर्वी केलेल्या दाव्याशी जुळते.

“अनेक संस्थांनी क्रियाकलाप यशस्वीरित्या अवरोधित केला किंवा असुरक्षा सुधारल्या, तर इतरांनी तडजोड अनुभवली, परिणामी चोरीचा डेटा ShinyHunters (डेटा लीक वेबसाइट) वर प्रकाशित केला गेला,” Mandiant लिहिले.

ओरॅकलने टिप्पणीसाठी रीडच्या विनंतीला प्रतिसाद दिला नाही.

ShinyHunters सदस्याने या आठवड्यात रीडला सांगितले की हॅक केलेल्या काही संस्था विद्यापीठे आणि महाविद्यालये आहेत.

हॅकरने एक मेसेज शेअर केला आहे जो त्यांनी पीडित शाळेला पाठवला होता, ज्यामध्ये हॅकर्सनी इतर डेटासह “पूर्ण नाव, घराचा पत्ता, फोन, ईमेल, जन्मतारीख, लिंग, वांशिकता, नावनोंदणी स्थिती, GPA, प्रमुख आणि विद्यार्थी आयडी असलेले शेकडो हजारो विद्यार्थ्यांचे रेकॉर्ड चोरल्याचा दावा केला आहे.”

पीपलसॉफ्ट आणि त्याचे ग्राहक, हॅकिंग मोहिमांच्या लांबलचक मालिकेतील नवीनतम बळी आहेत जिथे ShinyHunters टोळीने सर्व समान असुरक्षित सॉफ्टवेअर सामायिक करणाऱ्या संस्थांना लक्ष्य केले.

गेल्या वर्षी, समूहाने अनेक कंपन्यांना लक्ष्य केले जे सेल्सफोर्स आणि गेनसाइट वापरतात, तसेच शैक्षणिक क्षेत्रातील दिग्गज इंस्ट्रक्चरद्वारे प्रदान केलेले सॉफ्टवेअर आणि इतरांसह.

एकदा का हॅकर्स असुरक्षित सॉफ्टवेअर आणि त्याचा वापर करणाऱ्या कंपन्यांची ओळख पटवल्यानंतर, ते कॉर्पोरेट किंवा ग्राहकांचा डेटा चोरण्याचा प्रयत्न करतात आणि नंतर पीडितांनी खंडणी दिली नाही तर ते सोडण्याची धमकी देतात.

या वर्षाच्या सुरुवातीला, एज्युकेशन टेक कंपनी इन्स्ट्रक्चरने सांगितले की त्यांनी दोनदा कंपनीच्या सिस्टमचे उल्लंघन केल्यावर हॅकर्सना पैसे दिले. हॅकिंग मोहिमेचा एक भाग म्हणून, ShinyHunters ने Instructure चे लोकप्रिय शाळा माहिती पोर्टल Canvas वापरणाऱ्या अनेक शाळांची लॉगिन पृष्ठे खराब केली.