Oracle po prvotním odmítnutí potvrzuje narušení cloudu – Nároky hackerů, únik dat a tichá upozornění zvedají obočí
V obratu událostí, které vyvolávají vážné otázky o transparentnosti a zabezpečení cloudu, Oracle údajně utrpěl významné narušení dat zahrnující jeho cloudovou infrastrukturu – navzdory dřívějším tvrzením, která jakýkoli takový incident popírají. Technologický gigant od té doby začal tiše upozorňovat postižené zákazníky, přesto rozsah a závažnost útoku nadále zlehčuje.
Narušení poprvé vyšlo najevo, když hacker používající alias rose87168 začal unikat údajná citlivá data z Oracle Cloud, která postihla více než 140 000 nájemců. Tato data údajně zahrnují zašifrované přihlašovací údaje, uživatelská jména a další důležité informace o zákaznících. Útočník původně požadoval od Oracle výkupné ve výši 20 milionů dolarů, ale poté, co neobdržel žádnou platbu, začal ukradená data nabízet k prodeji nebo výměně za zero-day exploity.
Navzdory těmto obviněním byla počáteční odpověď společnosti Oracle kategorická: "Nedošlo k žádnému porušení Oracle Cloud. Zveřejněné přihlašovací údaje nejsou pro Oracle Cloud. Žádný zákazník Oracle Cloud nezaznamenal porušení nebo neztratil žádná data." Toto prohlášení je však nyní zpochybňováno přibývajícími důkazy a nezávislými potvrzeními od bezpečnostních expertů i zákazníků.
Obsah
Důkazy hackerů jsou v rozporu s odmítnutím společnosti Oracle
Podle SecurityWeek poskytl hacker několik důkazů, včetně vzorku 10 000 záznamů zákazníků, videa, které zdánlivě ukazuje interní schůzku Oracle, a soubor demonstrující přístup ke cloudovým systémům Oracle. Některé uniklé přihlašovací údaje jsou údajně z roku 2024, což je v rozporu s tvrzením společnosti Oracle – jak uvádí Bloomberg – že postižené prostředí nebylo používáno více než osm let.
Bezpečnostní výzkumník Kevin Beaumont má podezření, že Oracle používá vágní terminologii jako „Gen 1“, aby zakryl pravdu. Poukázal na to, že Oracle Classic, který pravděpodobně spadá pod toto označení, je stále součástí cloudové infrastruktury společnosti. Tento sémantický obrat podle něj umožňuje společnosti Oracle technicky odmítnout narušení „Oracle Cloud“, i když data pocházejí ze starších cloudových systémů.
Beaumont také odhalil, že Oracle neposlal zákazníkům písemná oznámení; místo toho byly výstrahy údajně pouze verbální, což dále vyvolává obavy o transparentnost společnosti.
Malware, Java Exploit a dlouhodobý přístup
CyberAngel citoval anonymní zdroj, který tvrdí, že narušení pochází ze zranitelnosti Javy z roku 2020, která útočníkům umožnila instalovat malware a webový shell na systémy Oracle. Malware se údajně zaměřoval na databázi Oracle Identity Management a přístup mohl být zahájen již v lednu 2025. Oracle se údajně o problému dozvěděl koncem února, přibližně v době, kdy byla vznesena žádost o výkupné.
Podle tohoto zdroje byla ovlivněna pouze cloudová infrastruktura „Gen 1“ – konkrétně servery ve starším prostředí Oracle Classic – zatímco modernější servery „Gen 2“ zůstaly nedotčeny. Přesto se zdá, že kompromitovaná data, přestože jsou údajně stará nejméně 16 měsíců, jsou spojena se skutečným produkčním prostředím a skutečnými zákaznickými účty.
Oracle Health Breach se přidává k Falloutu
Vzhledem k tomu, že společnost Oracle nadále vydává pouze omezená veřejná prohlášení, objevily se také zprávy o samostatném porušení týkajícím se systémů Oracle Health. Současné vystavení údajů o zákaznících a pacientech z různých systémů Oracle vyvolalo vážné obavy ze strany odborníků na kybernetickou bezpečnost i regulačních orgánů.
Řešení narušení cloudu ze strany společnosti Oracle – od počátečních zamítnutí až po omezený kontakt se zákazníky – vyvolalo kritiku z celého bezpečnostního odvětví. Zatímco vyšetřovatelé z FBI a CrowdStrike tuto záležitost zkoumají, mnozí požadují větší transparentnost od společnosti Oracle, která by postiženým organizacím pomohla posoudit rizika a podniknout nezbytné kroky k jejich ochraně.