Oracle bekræfter skybrud efter indledende benægtelse - Hackerpåstande, lækkede data og tavse advarsler løfter øjenbrynene
I en vending af begivenheder, der rejser alvorlige spørgsmål om gennemsigtighed og cloud-sikkerhed, har Oracle angiveligt lidt et betydeligt databrud, der involverer sin cloud-infrastruktur - på trods af tidligere påstande, der afviser enhver sådan hændelse. Teknikgiganten er siden stille og roligt begyndt at advare berørte kunder, men fortsætter med at nedtone omfanget og alvoren af angrebet.
Bruddet kom først frem, da en hacker, der brugte aliasset rose87168, begyndte at lække, hvad de hævdede var følsomme data fra Oracle Cloud, der påvirkede over 140.000 lejere. Disse data inkluderer angiveligt krypterede legitimationsoplysninger, brugernavne og andre kritiske kundeoplysninger. Angriberen krævede oprindeligt en løsesum på 20 millioner dollars fra Oracle, men efter ikke at have modtaget nogen betaling, begyndte han at tilbyde de stjålne data til salg eller handel i bytte for nul-dages bedrifter.
På trods af disse påstande var Oracles første svar kategorisk: "Der har ikke været noget brud på Oracle Cloud. De offentliggjorte legitimationsoplysninger er ikke for Oracle Cloud. Ingen Oracle Cloud-kunder oplevede et brud eller mistede nogen data." Denne udtalelse bliver dog nu udfordret af beviser og uafhængige bekræftelser fra både sikkerhedseksperter og kunder.
Indholdsfortegnelse
Hacker-beviser modsiger Oracles benægtelser
Ifølge SecurityWeek har hackeren fremlagt flere beviser, herunder en prøve på 10.000 kunderegistre, en video, der ser ud til at vise et internt Oracle-møde, og en fil, der demonstrerer adgang til Oracles cloud-systemer. Nogle lækkede legitimationsoplysninger er angiveligt fra 2024, hvilket modsiger Oracles påstand - som rapporteret af Bloomberg - om, at det berørte miljø ikke er blevet brugt i over otte år.
Sikkerhedsforsker Kevin Beaumont formoder, at Oracle bruger vag terminologi som "Gen 1" for at sløre sandheden. Han påpegede, at Oracle Classic, som sandsynligvis falder ind under det mærke, stadig er en del af virksomhedens cloud-infrastruktur. Dette semantiske spin, siger han, giver Oracle mulighed for teknisk at nægte et brud på "Oracle Cloud", selvom dataene stammer fra ældre cloud-systemer.
Beaumont afslørede også, at Oracle ikke har sendt skriftlige meddelelser til kunder; i stedet har advarslerne angiveligt kun været verbale - hvilket yderligere rejser bekymringer om virksomhedens gennemsigtighed.
Malware, Java-udnyttelse og langtidsadgang
CyberAngel citerede en anonym kilde, der hævder, at bruddet stammer fra en Java-sårbarhed i 2020, der gjorde det muligt for angribere at installere malware og en web-shell på Oracle-systemer. Malwaren var angiveligt rettet mod Oracles Identity Management-database, og adgangen kan være begyndt allerede i januar 2025. Oracle blev angiveligt opmærksom på problemet i slutningen af februar, omkring det tidspunkt, hvor kravet om løsesum blev fremsat.
Ifølge denne kilde blev kun "Gen 1" cloud-infrastruktur påvirket - specifikt servere i det ældre Oracle Classic-miljø - mens mere moderne "Gen 2"-servere var uberørte. Alligevel ser de kompromitterede data ud til, selvom de angiveligt er mindst 16 måneder gamle, at være knyttet til rigtige produktionsmiljøer og rigtige kundekonti.
Oracle Health Breach føjer til nedfaldet
Da Oracle fortsat kun udsender begrænsede offentlige erklæringer, er der også opstået rapporter om et separat brud, der involverer Oracle Health-systemer. Den samtidige eksponering af kunde- og patientdata fra forskellige Oracle-systemer har vakt alvorlig bekymring fra både cybersikkerhedsprofessionelle og regulatorer.
Oracles håndtering af skybruddet – fra dets indledende afvisninger til begrænset kundeopsøgende rækkevidde – har opfordret til kritik fra hele sikkerhedsindustrien. Mens efterforskere fra FBI og CrowdStrike ser på sagen, opfordrer mange til større gennemsigtighed fra Oracle for at hjælpe berørte organisationer med at vurdere risici og tage de nødvendige skridt for at beskytte sig selv.