Η Oracle επιβεβαιώνει παραβίαση του Cloud μετά την αρχική άρνηση — Αξιώσεις χάκερ, δεδομένα που διέρρευσαν και σιωπηλές ειδοποιήσεις αυξάνουν τα φρύδια
Σε μια σειρά γεγονότων που εγείρουν σοβαρά ερωτήματα σχετικά με τη διαφάνεια και την ασφάλεια στο cloud, η Oracle φέρεται να έχει υποστεί σημαντική παραβίαση δεδομένων που αφορά την υποδομή cloud της — παρά τους προηγούμενους ισχυρισμούς που αρνούνται οποιοδήποτε τέτοιο περιστατικό. Ο τεχνολογικός γίγαντας από τότε άρχισε να ειδοποιεί αθόρυβα τους πελάτες που επηρεάζονται, ωστόσο συνεχίζει να υποβαθμίζει το εύρος και τη σοβαρότητα της επίθεσης.
Η παραβίαση ήρθε για πρώτη φορά στο φως όταν ένας χάκερ που χρησιμοποιούσε το ψευδώνυμο rose87168 άρχισε να διαρρέει αυτά που ισχυρίστηκαν ότι ήταν ευαίσθητα δεδομένα από το Oracle Cloud, επηρεάζοντας περισσότερους από 140.000 ενοικιαστές. Αυτά τα δεδομένα φέρεται να περιλαμβάνουν κρυπτογραφημένα διαπιστευτήρια, ονόματα χρήστη και άλλες σημαντικές πληροφορίες πελατών. Ο εισβολέας ζήτησε αρχικά λύτρα 20 εκατομμυρίων δολαρίων από την Oracle, αλλά αφού δεν έλαβε καμία πληρωμή, άρχισε να προσφέρει τα κλεμμένα δεδομένα προς πώληση ή εμπόριο με αντάλλαγμα για κατορθώματα μηδενικής ημέρας.
Παρά αυτούς τους ισχυρισμούς, η αρχική απάντηση της Oracle ήταν κατηγορηματική: "Δεν υπήρξε παραβίαση του Oracle Cloud. Τα δημοσιευμένα διαπιστευτήρια δεν είναι για το Oracle Cloud. Κανένας πελάτης του Oracle Cloud δεν αντιμετώπισε παραβίαση ή έχασε δεδομένα." Αυτή η δήλωση, ωστόσο, αμφισβητείται τώρα από ολοένα και περισσότερα στοιχεία και ανεξάρτητες επιβεβαιώσεις από εμπειρογνώμονες ασφαλείας και πελάτες.
Πίνακας περιεχομένων
Στοιχεία χάκερ έρχονται σε αντίθεση με τις αρνήσεις της Oracle
Σύμφωνα με το SecurityWeek , ο χάκερ έχει παράσχει πολλά αποδεικτικά στοιχεία, συμπεριλαμβανομένου ενός δείγματος 10.000 εγγραφών πελατών, ενός βίντεο που φαίνεται να δείχνει μια εσωτερική συνάντηση της Oracle και ενός αρχείου που αποδεικνύει την πρόσβαση στα συστήματα cloud της Oracle. Κάποια διαπιστευτήρια που διέρρευσαν φέρεται να προέρχονται από το 2024, έρχονται σε αντίθεση με τον ισχυρισμό της Oracle - όπως αναφέρεται από το Bloomberg - ότι το επηρεαζόμενο περιβάλλον δεν έχει χρησιμοποιηθεί για περισσότερα από οκτώ χρόνια.
Ο ερευνητής ασφαλείας Kevin Beaumont υποπτεύεται ότι η Oracle χρησιμοποιεί ασαφή ορολογία όπως το "Gen 1" για να κρύψει την αλήθεια. Επισήμανε ότι το Oracle Classic, το οποίο πιθανότατα εμπίπτει σε αυτήν την ετικέτα, εξακολουθεί να αποτελεί μέρος της υποδομής cloud της εταιρείας. Αυτή η σημασιολογική περιστροφή, λέει, επιτρέπει στην Oracle να αρνηθεί τεχνικά μια παραβίαση του "Oracle Cloud", ακόμα κι αν τα δεδομένα προέρχονται από παλαιού τύπου συστήματα cloud.
Η Beaumont αποκάλυψε επίσης ότι η Oracle δεν έχει στείλει γραπτές ειδοποιήσεις στους πελάτες. Αντίθετα, οι ειδοποιήσεις φέρεται να ήταν μόνο προφορικές — εγείροντας περαιτέρω ανησυχίες για τη διαφάνεια της εταιρείας.
Κακόβουλο λογισμικό, Java Exploit και μακροπρόθεσμη πρόσβαση
Η CyberAngel επικαλέστηκε μια ανώνυμη πηγή που ισχυρίζεται ότι η παραβίαση προέρχεται από μια ευπάθεια Java του 2020 που επέτρεπε στους εισβολείς να εγκαταστήσουν κακόβουλο λογισμικό και ένα κέλυφος Ιστού στα συστήματα Oracle. Το κακόβουλο λογισμικό φέρεται να στόχευε τη βάση δεδομένων Identity Management της Oracle και η πρόσβαση μπορεί να είχε ξεκινήσει ήδη από τον Ιανουάριο του 2025. Η Oracle φέρεται να ενημερώθηκε για το ζήτημα στα τέλη Φεβρουαρίου, περίπου τη στιγμή που υποβλήθηκε η απαίτηση λύτρων.
Σύμφωνα με αυτήν την πηγή, επηρεάστηκε μόνο η υποδομή cloud "Gen 1" - συγκεκριμένα, οι διακομιστές στο παλαιότερο περιβάλλον Oracle Classic - ενώ οι πιο σύγχρονοι διακομιστές "Gen 2" παρέμειναν ανέγγιχτοι. Ωστόσο, τα παραβιασμένα δεδομένα, αν και σύμφωνα με πληροφορίες είναι τουλάχιστον 16 μηνών, φαίνεται να συνδέονται με πραγματικά περιβάλλοντα παραγωγής και πραγματικούς λογαριασμούς πελατών.
Το Oracle Health Breach προστίθεται στο Fallout
Καθώς η Oracle συνεχίζει να εκδίδει μόνο περιορισμένες δημόσιες δηλώσεις, έχουν προκύψει επίσης αναφορές για μια ξεχωριστή παραβίαση που αφορούσε τα συστήματα Oracle Health. Η ταυτόχρονη έκθεση δεδομένων πελατών και ασθενών από διαφορετικά συστήματα Oracle έχει προκαλέσει σοβαρές ανησυχίες τόσο από επαγγελματίες στον τομέα της κυβερνοασφάλειας όσο και από ρυθμιστικές αρχές.
Ο χειρισμός της παραβίασης του cloud από την Oracle - από τις αρχικές αρνήσεις έως την περιορισμένη προσέγγιση πελατών - έχει προκαλέσει κριτική από όλο τον κλάδο ασφάλειας. Καθώς οι ερευνητές από το FBI και το CrowdStrike εξετάζουν το θέμα, πολλοί ζητούν μεγαλύτερη διαφάνεια από την Oracle για να βοηθήσει τους επηρεαζόμενους οργανισμούς να αξιολογήσουν τον κίνδυνο και να λάβουν τα απαραίτητα μέτρα για την προστασία τους.