Oracle потвърждава пробив в облака след първоначално отричане - хакерски твърдения, изтекли данни и тихи сигнали повдигат вежди

В обрат на събитията, който повдига сериозни въпроси относно прозрачността и облачната сигурност, се съобщава, че Oracle е претърпял значително нарушение на данните, включващо неговата облачна инфраструктура – въпреки по-ранните твърдения, отричащи подобен инцидент. Оттогава технологичният гигант започна тихо да предупреждава засегнатите клиенти, но продължава да омаловажава обхвата и сериозността на атаката.

Пробивът излезе наяве, когато хакер, използващ псевдонима rose87168, започна да изтича това, което те твърдяха, че са чувствителни данни от Oracle Cloud, засягайки над 140 000 наематели. Твърди се, че тези данни включват криптирани идентификационни данни, потребителски имена и друга критична информация за клиентите. Нападателят първоначално поиска откуп от 20 милиона долара от Oracle, но след като не получи плащане, започна да предлага откраднатите данни за продажба или търговия в замяна на експлойти за нулев ден.

Въпреки тези обвинения, първоначалният отговор на Oracle беше категоричен: "Няма пробив в Oracle Cloud. Публикуваните идентификационни данни не са за Oracle Cloud. Нито един клиент на Oracle Cloud не е претърпял пробив или е загубил данни." Това твърдение обаче сега се оспорва от нарастващи доказателства и независими потвърждения както от експерти по сигурността, така и от клиенти.

Хакерските доказателства противоречат на опроверженията на Oracle

Според SecurityWeek хакерът е предоставил множество доказателства, включително извадка от 10 000 клиентски записа, видео, което изглежда показва вътрешна среща на Oracle, и файл, демонстриращ достъп до облачните системи на Oracle. Съобщава се, че някои изтекли идентификационни данни са от 2024 г., което противоречи на твърдението на Oracle - както се съобщава от Bloomberg - че засегнатата среда не е била използвана повече от осем години.

Изследователят по сигурността Кевин Бомонт подозира, че Oracle използва неясна терминология като „Gen 1“, за да скрие истината. Той посочи, че Oracle Classic, който вероятно попада под този етикет, все още е част от облачната инфраструктура на компанията. Това семантично завъртане, казва той, позволява на Oracle технически да откаже нарушение на „Oracle Cloud“, дори ако данните произхождат от наследени облачни системи.

Beaumont също разкри, че Oracle не е изпратил писмени уведомления до клиентите; вместо това се съобщава, че сигналите са били само устни - което допълнително поражда опасения относно прозрачността на компанията.

Зловреден софтуер, експлойт на Java и дългосрочен достъп

CyberAngel цитира анонимен източник, който твърди, че пробивът произтича от уязвимост на Java от 2020 г., която позволява на нападателите да инсталират злонамерен софтуер и уеб обвивка на системи на Oracle. Съобщава се, че злонамереният софтуер е насочен към базата данни за управление на идентичността на Oracle и достъпът може да е започнал още през януари 2025 г. Твърди се, че Oracle е разбрал за проблема в края на февруари, около времето, когато е направено искането за откуп.

Според този източник само облачната инфраструктура от „Gen 1“ е била засегната — по-специално сървъри в по-старата среда на Oracle Classic — докато по-модерните сървъри от „Gen 2» са били недокоснати. И все пак, компрометираните данни, макар и според съобщенията да са поне на 16 месеца, изглежда са свързани с реални производствени среди и реални клиентски акаунти.

Нарушаването на здравето на Oracle добавя към последствията

Тъй като Oracle продължава да издава само ограничени публични изявления, се появиха и доклади за отделно нарушение, включващо системите на Oracle Health. Едновременното излагане на данни на клиенти и пациенти от различни системи на Oracle предизвика сериозно безпокойство както от специалисти по киберсигурност, така и от регулаторни органи.

Справянето на Oracle с пробива в облака – от първоначалните му откази до ограничения обхват на клиентите – предизвика критики от цялата индустрия за сигурност. Докато следователи от ФБР и CrowdStrike разглеждат въпроса, мнозина призовават за по-голяма прозрачност от Oracle, за да помогнат на засегнатите организации да оценят риска и да предприемат необходимите стъпки, за да се защитят.