Oracle kinnitab pilve rikkumise pärast esialgset keeldumist – häkkerite väited, lekkinud andmed ja vaiksed hoiatused tõstavad kulme
Läbipaistvuse ja pilveturbe kohta tõsiseid küsimusi tekitavate sündmuste pöörde käigus on Oracle väidetavalt kannatanud oma pilveinfrastruktuuriga seotud olulise andmerikkumise all – hoolimata varasematest väidetest, mis eitavad sellist juhtumit. Tehnikahiiglane on sellest ajast peale hakanud mõjutatud kliente vaikselt hoiatama, kuid jätkab rünnaku ulatuse ja tõsiduse vähendamist.
Rikkumine tuli esmakordselt ilmsiks, kui häkker, kes kasutas varjunime rose87168 , hakkas lekitama Oracle Cloudist nende väitel tundlikke andmeid, mis mõjutasid üle 140 000 üürniku. Need andmed sisaldavad väidetavalt krüpteeritud mandaate, kasutajanimesid ja muud olulist klienditeavet. Ründaja nõudis Oracle'ilt algselt 20 miljoni dollari suurust lunaraha, kuid pärast makse tasumata jätmist hakkas ta varastatud andmeid pakkuma müügiks või vahetama vastutasuks nullpäeva rünnakute eest.
Nendele väidetele vaatamata oli Oracle'i esialgne vastus kategooriline: "Oracle Cloudi rikkumist ei ole toimunud. Avaldatud volikirjad ei ole Oracle Cloudi jaoks. Ükski Oracle Cloudi klient ei kogenud rikkumist ega kaotanud andmeid." Selle väite vaidlustavad aga üha suurenevad tõendid ja sõltumatud kinnitused nii turvaekspertidelt kui ka klientidelt.
Sisukord
Häkkerite tõendid on vastuolus Oracle'i keeldudega
SecurityWeeki andmetel on häkker esitanud mitmeid tõendeid, sealhulgas 10 000 kliendikirjest koosneva näidise, video, mis näib kujutavat Oracle'i sisemist koosolekut, ja faili, mis demonstreerib juurdepääsu Oracle'i pilvesüsteemidele. Mõned lekkinud volikirjad pärinevad väidetavalt aastast 2024, mis on vastuolus Oracle'i väitega – nagu teatas Bloomberg –, et mõjutatud keskkonda pole kasutatud üle kaheksa aasta.
Turvauurija Kevin Beaumont kahtlustab, et Oracle kasutab tõe varjamiseks ebamäärast terminoloogiat, nagu "Gen 1". Ta märkis, et Oracle Classic, mis tõenäoliselt kuulub selle sildi alla, on endiselt osa ettevõtte pilveinfrastruktuurist. Tema sõnul võimaldab see semantiline spin Oracle'il tehniliselt eitada Oracle Cloudi rikkumist, isegi kui andmed pärinevad pärandpilvesüsteemidest.
Beaumont paljastas ka, et Oracle ei ole klientidele kirjalikke teateid saatnud; selle asemel on hoiatused olnud vaid suulised, mis suurendab veelgi muret ettevõtte läbipaistvuse pärast.
Pahavara, Java Exploit ja pikaajaline juurdepääs
CyberAngel viitas anonüümsele allikale, kes väidab, et rikkumine tuleneb 2020. aasta Java haavatavusest, mis võimaldas ründajatel installida Oracle'i süsteemidesse pahavara ja veebikesta. Väidetavalt oli pahavara suunatud Oracle'i identiteedihalduse andmebaasile ja juurdepääs võis alata juba 2025. aasta jaanuaris. Väidetavalt sai Oracle probleemist teada veebruari lõpus, umbes lunarahanõudmise ajal.
Selle allika kohaselt oli mõjutatud ainult „Gen 1” pilveinfrastruktuur – täpsemalt vanemas Oracle Classicu keskkonnas olevad serverid –, samas kui kaasaegsemad 2. põlvkonna serverid jäid puutumata. Siiski näivad ohustatud andmed, mis on väidetavalt vähemalt 16 kuud vanad, seotud tegelike tootmiskeskkondade ja tegelike kliendikontodega.
Oracle'i terviserikkumine suurendab väljalangemist
Kuna Oracle avaldab jätkuvalt vaid piiratud hulgal avalikke avaldusi, on ilmunud ka teateid Oracle Healthi süsteemidega seotud eraldiseisvast rikkumisest. Erinevatest Oracle'i süsteemidest pärit klientide ja patsientide andmete samaaegne avaldamine on tekitanud tõsist muret nii küberturvalisuse spetsialistide kui ka reguleerivate asutuste seas.
See, kuidas Oracle pilve rikkumistega tegeleb – alates esialgsetest keeldumistest kuni piiratud klientideni jõudmiseni – on kutsunud esile kriitikat kogu turvatööstusest. Kui FBI ja CrowdStrike'i uurijad seda asja uurivad, nõuavad paljud Oracle'ilt suuremat läbipaistvust, et aidata mõjutatud organisatsioonidel riske hinnata ja astuda vajalikke samme enda kaitsmiseks.