Oracle confirma la violació del núvol després de la denegació inicial: les reclamacions dels pirates informàtics, les dades filtrades i les alertes silencioses aixequen les celles
En un gir d'esdeveniments que planteja serioses qüestions sobre la transparència i la seguretat del núvol, Oracle ha patit una bretxa important de dades que implica la seva infraestructura de núvol, malgrat les afirmacions anteriors que neguen aquest incident. Des de llavors, el gegant tecnològic ha començat a alertar silenciosament els clients afectats, però continua minimitzant l'abast i la gravetat de l'atac.
La violació va sortir a la llum per primera vegada quan un pirata informàtic que utilitzava l'àlies rose87168 va començar a filtrar el que deien que eren dades sensibles d'Oracle Cloud, que van afectar més de 140.000 inquilins. Aquestes dades suposadament inclouen credencials encriptades, noms d'usuari i altra informació crítica dels clients. L'atacant inicialment va demanar un rescat de 20 milions de dòlars a Oracle, però després de no rebre cap pagament, va començar a oferir les dades robades per a la venda o el comerç a canvi d'explotacions de dia zero.
Malgrat aquestes al·legacions, la resposta inicial d'Oracle va ser categòrica: "No hi ha hagut cap incompliment d'Oracle Cloud. Les credencials publicades no són per a Oracle Cloud. Cap client d'Oracle Cloud ha experimentat una incompliment ni ha perdut cap dada". Aquesta afirmació, però, s'està qüestionant amb proves creixents i confirmacions independents tant d'experts en seguretat com de clients.
Taula de continguts
L'evidència dels pirates informàtics contradiu les denegacions d'Oracle
Segons SecurityWeek , el pirata informàtic ha proporcionat diverses proves, incloent una mostra de 10.000 registres de clients, un vídeo que sembla mostrar una reunió interna d'Oracle i un fitxer que demostra l'accés als sistemes de núvol d'Oracle. Segons informa, algunes credencials filtrades són del 2024, cosa que contradiu l'afirmació d'Oracle, segons informa Bloomberg , que l'entorn afectat no s'ha utilitzat durant més de vuit anys.
L'investigador de seguretat Kevin Beaumont sospita que Oracle està utilitzant una terminologia vaga com "Gen 1" per enfosquir la veritat. Va assenyalar que Oracle Classic, que probablement cau sota aquesta etiqueta, encara forma part de la infraestructura del núvol de la companyia. Aquest gir semàntic, diu, permet a Oracle negar tècnicament una infracció d'"Oracle Cloud", fins i tot si les dades es van originar a partir de sistemes de núvol heretats.
Beaumont també va revelar que Oracle no ha enviat notificacions per escrit als clients; en comptes d'això, les alertes només han estat verbals, cosa que suscita encara més preocupacions sobre la transparència de l'empresa.
Programari maliciós, explotació de Java i accés a llarg termini
CyberAngel va citar una font anònima que afirma que l'incompliment prové d'una vulnerabilitat de Java del 2020 que va permetre als atacants instal·lar programari maliciós i un shell web als sistemes Oracle. S'ha informat que el programari maliciós es va dirigir a la base de dades de gestió d'identitats d'Oracle, i l'accés podria haver començat el gener de 2025. Oracle suposadament es va adonar del problema a finals de febrer, al voltant del moment en què es va demanar el rescat.
Segons aquesta font, només es va veure afectada la infraestructura del núvol "Gen 1" (específicament, els servidors de l'entorn antic d'Oracle Classic), mentre que els servidors "Gen 2" més moderns no es van tocar. Tot i així, les dades compromeses, tot i que es diu que tenen almenys 16 mesos d'antiguitat, sembla que estan vinculades a entorns de producció reals i comptes de clients reals.
Oracle Health Breach s'afegeix a la fallout
Com que Oracle continua emetent només declaracions públiques limitades, també han sorgit informes d'una violació separada que implica sistemes Oracle Health. L'exposició simultània de dades de clients i pacients de diferents sistemes Oracle ha generat una gran preocupació tant per part dels professionals de la ciberseguretat com dels reguladors.
La gestió per part d'Oracle de l'incompliment del núvol, des de les seves denegacions inicials fins a l'extensió limitada del client, ha convidat a crítiques de tota la indústria de la seguretat. Mentre els investigadors de l'FBI i CrowdStrike estudien l'assumpte, molts demanen una major transparència d'Oracle per ajudar les organitzacions afectades a avaluar el risc i prendre les mesures necessàries per protegir-se.