Az Oracle megerősíti a felhőbe való betörést a kezdeti elutasítás után – a hackerek követelései, a kiszivárgott adatok és a néma riasztások felhúzzák a szemöldökét
Az átláthatósággal és a felhőbiztonsággal kapcsolatos komoly kérdéseket felvető események fordulatában az Oracle jelentős adatszivárgást szenvedett a felhő infrastruktúrájával kapcsolatban – annak ellenére, hogy a korábbi állítások tagadták az ilyen eseményeket. A technológiai óriás azóta csendesen figyelmezteti az érintett ügyfeleket, de továbbra is lekicsinyli a támadás hatókörét és súlyosságát.
A jogsértésre először akkor derült fény, amikor a rose87168 álnevet használó hacker állításuk szerint érzékeny adatokat kezdett kiszivárogtatni az Oracle Cloudból, ami több mint 140 000 bérlőt érintett. Ezek az adatok állítólag titkosított hitelesítő adatokat, felhasználóneveket és egyéb kritikus ügyféladatokat tartalmaznak. A támadó eleinte 20 millió dollár váltságdíjat követelt az Oracle-től, de miután nem kapott fizetést, az ellopott adatokat eladásra vagy kereskedésre kínálta nulladik napi kihasználásokért cserébe.
Ezen állítások ellenére az Oracle kezdeti válasza kategorikus volt: "Nem történt megsértés az Oracle Clouddal kapcsolatban. A közzétett hitelesítő adatok nem az Oracle Cloudhoz tartoznak. Az Oracle Cloud egyik ügyfele sem tapasztalt incidenst vagy veszített el adatokat." Ezt az állítást azonban egyre több bizonyíték, valamint biztonsági szakértőktől és ügyfelektől származó független megerősítések cáfolják.
Tartalomjegyzék
A hackerek bizonyítékai ellentmondanak az Oracle tagadásának
A SecurityWeek szerint a hacker több bizonyítékot is bemutatott, köztük 10 000 ügyfélrekordból álló mintát, egy videót, amely úgy tűnik, hogy egy belső Oracle találkozót mutat be, és egy fájlt, amely az Oracle felhőrendszereihez való hozzáférést demonstrálja. Egyes kiszivárgott hitelesítő adatok állítólag 2024-ből származnak, ami ellentmond az Oracle azon állításának – amint azt a Bloomberg közölte –, hogy az érintett környezetet több mint nyolc éve nem használták.
Kevin Beaumont biztonsági kutató azt gyanítja, hogy az Oracle olyan homályos terminológiát használ, mint a „Gen 1”, hogy elfedje az igazságot. Rámutatott, hogy az Oracle Classic, amely valószínűleg e címke alá tartozik, továbbra is a vállalat felhő infrastruktúrájának része. Ez a szemantikai pörgés – mondja – lehetővé teszi az Oracle számára, hogy technikailag megtagadja az „Oracle Cloud” megsértését, még akkor is, ha az adatok örökölt felhőrendszerekből származnak.
Beaumont azt is elárulta, hogy az Oracle nem küldött írásos értesítést az ügyfeleknek; ehelyett a riasztások állítólag csak szóbeliek voltak, ami tovább növeli a vállalat átláthatóságával kapcsolatos aggodalmakat.
Malware, Java Exploit és Long-Term Access
A CyberAngel egy névtelen forrásra hivatkozott, aki azt állítja, hogy a jogsértés egy 2020-as Java-sebezhetőségből ered, amely lehetővé tette a támadók számára, hogy rosszindulatú programokat és webhéjat telepítsenek az Oracle rendszerekre. A kártevő állítólag az Oracle Identity Management adatbázisát célozta meg, és a hozzáférés már 2025 januárjában megkezdődhetett. Az Oracle állítólag február végén szerzett tudomást a problémáról, a váltságdíj követelése körül.
E forrás szerint csak a „Gen 1” felhőinfrastruktúra érintett – különösen a régebbi Oracle Classic környezetben lévő szerverek –, míg a modernebb „Gen 2” szerverek érintetlenek maradtak. Ennek ellenére a kompromittált adatok, bár állítólag legalább 16 hónaposak, úgy tűnik, valós termelési környezetekhez és valódi ügyfélfiókokhoz kapcsolódnak.
Az Oracle egészségügyi megsértése tovább növeli a bukást
Mivel az Oracle továbbra is csak korlátozott számú nyilvános nyilatkozatot tesz közzé, az Oracle Health rendszereit érintő külön jogsértésről is megjelentek jelentések. A különböző Oracle-rendszerekből származó ügyfelek és páciensek adatainak egyidejű megjelenése komoly aggodalmat váltott ki a kiberbiztonsági szakemberekben és a szabályozókban egyaránt.
Az, hogy az Oracle kezeli a felhőalapú adatszivárgást – a kezdeti elutasításoktól a korlátozott ügyfélmegszólításig – kritikát váltott ki a biztonsági ágazat minden részéről. Miközben az FBI és a CrowdStrike nyomozói vizsgálják az ügyet, sokan nagyobb átláthatóságot követelnek az Oracle-től, hogy segítsenek az érintett szervezeteknek felmérni a kockázatokat és megtenni a szükséges lépéseket saját maguk védelmére.