প্রাথমিক অস্বীকৃতির পর ওরাকল ক্লাউড লঙ্ঘনের বিষয়টি নিশ্চিত করেছে — হ্যাকারদের দাবি, ফাঁস হওয়া তথ্য এবং নীরব সতর্কতাগুলি ভ্রু কুঁচকে দিয়েছে
স্বচ্ছতা এবং ক্লাউড সুরক্ষা সম্পর্কে গুরুতর প্রশ্ন উত্থাপনকারী ঘটনাগুলির এক পালাক্রমে, ওরাকল তার ক্লাউড অবকাঠামোর সাথে জড়িত একটি উল্লেখযোগ্য ডেটা লঙ্ঘনের শিকার হয়েছে বলে জানা গেছে - যদিও এর আগে এমন কোনও ঘটনা অস্বীকার করা হয়েছিল। প্রযুক্তি জায়ান্টটি তখন থেকে নীরবে প্রভাবিত গ্রাহকদের সতর্ক করা শুরু করেছে, তবুও আক্রমণের পরিধি এবং তীব্রতা হ্রাস করে চলেছে।
এই হ্যাকারটি প্রথম প্রকাশ পায় যখন rose87168 ছদ্মনাম ব্যবহার করে একজন হ্যাকার ওরাকল ক্লাউড থেকে সংবেদনশীল তথ্য ফাঁস করতে শুরু করে, যা ১৪০,০০০ এরও বেশি ভাড়াটেকে প্রভাবিত করে। এই তথ্যে এনক্রিপ্ট করা শংসাপত্র, ব্যবহারকারীর নাম এবং অন্যান্য গুরুত্বপূর্ণ গ্রাহক তথ্য অন্তর্ভুক্ত রয়েছে বলে অভিযোগ। আক্রমণকারী প্রথমে ওরাকল থেকে ২০ মিলিয়ন ডলার মুক্তিপণ দাবি করেছিল, কিন্তু কোনও অর্থ প্রদান না পেয়ে, জিরো-ডে এক্সপ্লোইটের বিনিময়ে চুরি করা তথ্য বিক্রি বা বাণিজ্যের জন্য অফার করতে শুরু করে।
এই অভিযোগ সত্ত্বেও, ওরাকলের প্রাথমিক প্রতিক্রিয়া ছিল স্পষ্ট: "ওরাকল ক্লাউডের কোনও লঙ্ঘন হয়নি। প্রকাশিত শংসাপত্রগুলি ওরাকল ক্লাউডের জন্য নয়। কোনও ওরাকল ক্লাউড গ্রাহক কোনও লঙ্ঘনের সম্মুখীন হননি বা কোনও ডেটা হারিয়ে ফেলেননি।" তবে, সেই বিবৃতিটি এখন ক্রমবর্ধমান প্রমাণ এবং নিরাপত্তা বিশেষজ্ঞ এবং গ্রাহকদের কাছ থেকে স্বাধীন নিশ্চিতকরণের দ্বারা চ্যালেঞ্জ করা হচ্ছে।
সুচিপত্র
হ্যাকারদের প্রমাণ ওরাকলের অস্বীকারের বিরোধিতা করে
সিকিউরিটি উইকের মতে, হ্যাকার একাধিক প্রমাণ সরবরাহ করেছে, যার মধ্যে রয়েছে ১০,০০০ গ্রাহক রেকর্ডের নমুনা, একটি ভিডিও যা একটি অভ্যন্তরীণ ওরাকলের মিটিং দেখায় বলে মনে হচ্ছে এবং একটি ফাইল যা ওরাকলের ক্লাউড সিস্টেমে অ্যাক্সেস প্রদর্শন করে। কিছু ফাঁস হওয়া প্রমাণপত্র ২০২৪ সালের বলে জানা গেছে, যা ওরাকলের দাবির বিরোধিতা করে - যেমন ব্লুমবার্গের প্রতিবেদন অনুসারে - যে প্রভাবিত পরিবেশটি আট বছরেরও বেশি সময় ধরে ব্যবহার করা হয়নি।
নিরাপত্তা গবেষক কেভিন বিউমন্ট সন্দেহ করেন যে ওরাকল "জেনারেল ১" এর মতো অস্পষ্ট পরিভাষা ব্যবহার করে সত্যকে আড়াল করছে। তিনি উল্লেখ করেছেন যে ওরাকল ক্লাসিক, যা সম্ভবত এই লেবেলের অধীনে আসে, এখনও কোম্পানির ক্লাউড অবকাঠামোর অংশ। তিনি বলেন, এই অর্থগত স্পিন, ওরাকলকে প্রযুক্তিগতভাবে "ওরাকল ক্লাউড" লঙ্ঘনের বিষয়টি অস্বীকার করার অনুমতি দেয়, এমনকি যদি ডেটা লিগ্যাসি ক্লাউড সিস্টেম থেকে উদ্ভূত হয়।
বিউমন্ট আরও প্রকাশ করেছেন যে ওরাকল গ্রাহকদের কাছে লিখিত বিজ্ঞপ্তি পাঠায়নি; পরিবর্তে, সতর্কতাগুলি কেবল মৌখিকভাবে পাঠানো হয়েছে বলে জানা গেছে - যা কোম্পানির স্বচ্ছতা নিয়ে আরও উদ্বেগ বাড়িয়েছে।
ম্যালওয়্যার, জাভা এক্সপ্লয়েট এবং দীর্ঘমেয়াদী অ্যাক্সেস
সাইবারএঞ্জেল একটি অজ্ঞাত সূত্রের বরাত দিয়ে জানিয়েছে, ২০২০ সালের জাভা দুর্বলতার কারণে এই লঙ্ঘনটি ঘটেছে, যার ফলে আক্রমণকারীরা ওরাকল সিস্টেমে ম্যালওয়্যার এবং একটি ওয়েব শেল ইনস্টল করতে পেরেছিল। ম্যালওয়্যারটি ওরাকলের আইডেন্টিটি ম্যানেজমেন্ট ডাটাবেসকে লক্ষ্য করে তৈরি করা হয়েছিল এবং অ্যাক্সেস ২০২৫ সালের জানুয়ারির প্রথম দিকে শুরু হতে পারে। অভিযোগ, ফেব্রুয়ারির শেষের দিকে, যখন মুক্তিপণ দাবি করা হয়েছিল, তখনই ওরাকল এই সমস্যাটি সম্পর্কে সচেতন হয়েছিল।
এই সূত্র অনুসারে, শুধুমাত্র "জেনারেশন ১" ক্লাউড অবকাঠামো প্রভাবিত হয়েছিল - বিশেষ করে, পুরানো ওরাকল ক্লাসিক পরিবেশের সার্ভারগুলি - যখন আরও আধুনিক "জেনারেশন ২" সার্ভারগুলি অক্ষত ছিল। তবুও, ক্ষতিগ্রস্থ ডেটা, যদিও কমপক্ষে ১৬ মাস পুরানো বলে জানা গেছে, বাস্তব উৎপাদন পরিবেশ এবং প্রকৃত গ্রাহক অ্যাকাউন্টের সাথে সংযুক্ত বলে মনে হচ্ছে।
ওরাকল হেলথ লঙ্ঘন বিপর্যয় আরও বাড়িয়েছে
ওরাকল যেহেতু সীমিত সংখ্যক জনসাধারণের জন্য বিবৃতি জারি করে চলেছে, তাই ওরাকল হেলথ সিস্টেমের সাথে জড়িত একটি পৃথক লঙ্ঘনের খবরও উঠে এসেছে। বিভিন্ন ওরাকল সিস্টেম থেকে গ্রাহক এবং রোগীর তথ্য একযোগে প্রকাশের ফলে সাইবার নিরাপত্তা পেশাদার এবং নিয়ন্ত্রক উভয়েরই উদ্বেগ রয়েছে।
ক্লাউড লঙ্ঘনের ঘটনায় ওরাকলের পরিচালনা - প্রাথমিকভাবে অস্বীকার থেকে শুরু করে সীমিত গ্রাহক যোগাযোগ - নিরাপত্তা শিল্পের বিভিন্ন স্তর থেকে সমালোচনার জন্ম দিয়েছে। এফবিআই এবং ক্রাউডস্ট্রাইকের তদন্তকারীরা যখন বিষয়টি তদন্ত করছেন, তখন অনেকেই আক্রান্ত সংস্থাগুলিকে ঝুঁকি মূল্যায়ন করতে এবং নিজেদের সুরক্ষার জন্য প্রয়োজনীয় পদক্ষেপ নিতে সহায়তা করার জন্য ওরাকলের কাছ থেকে আরও স্বচ্ছতার আহ্বান জানাচ্ছেন।