Oracle conferma la violazione del cloud dopo la smentita iniziale: affermazioni di hacker, dati trapelati e avvisi silenziosi sollevano perplessità

In una svolta che solleva seri dubbi sulla trasparenza e sulla sicurezza del cloud, Oracle avrebbe subito una significativa violazione dei dati che ha coinvolto la sua infrastruttura cloud, nonostante precedenti dichiarazioni negassero qualsiasi incidente del genere. Il colosso della tecnologia ha da allora iniziato ad avvisare in modo discreto i clienti interessati, continuando tuttavia a minimizzare la portata e la gravità dell'attacco.

La violazione è venuta alla luce per la prima volta quando un hacker che utilizzava l'alias rose87168 ha iniziato a diffondere quelli che, a suo dire, erano dati sensibili da Oracle Cloud, colpendo oltre 140.000 tenant. Questi dati includevano presumibilmente credenziali crittografate, nomi utente e altre informazioni critiche dei clienti. Inizialmente, l'aggressore ha chiesto un riscatto di 20 milioni di dollari a Oracle, ma, non ricevendo alcun pagamento, ha iniziato a offrire i dati rubati in vendita o in cambio di exploit zero-day.

Nonostante queste accuse, la risposta iniziale di Oracle è stata categorica: "Non si è verificata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non sono relative a Oracle Cloud. Nessun cliente di Oracle Cloud ha subito una violazione o ha perso dati". Tale affermazione, tuttavia, è ora smentita da prove crescenti e conferme indipendenti da parte di esperti di sicurezza e clienti.

Le prove degli hacker contraddicono le smentite di Oracle

Secondo SecurityWeek , l'hacker ha fornito diverse prove, tra cui un campione di 10.000 record di clienti, un video che sembra mostrare una riunione interna di Oracle e un file che dimostra l'accesso ai sistemi cloud di Oracle. Alcune credenziali trapelate risalgono presumibilmente al 2024, contraddicendo l'affermazione di Oracle – riportata da Bloomberg – secondo cui l'ambiente interessato non sarebbe stato utilizzato da oltre otto anni.

Il ricercatore di sicurezza Kevin Beaumont sospetta che Oracle stia usando una terminologia vaga come "Gen 1" per nascondere la verità. Ha sottolineato che Oracle Classic, che probabilmente rientra in questa etichetta, fa ancora parte dell'infrastruttura cloud dell'azienda. Questa rotazione semantica, afferma, consente a Oracle di negare tecnicamente una violazione di "Oracle Cloud", anche se i dati provengono da sistemi cloud legacy.

Beaumont ha inoltre rivelato che Oracle non ha inviato notifiche scritte ai clienti; a quanto pare, gli avvisi sono stati solo verbali, il che aumenta ulteriormente le preoccupazioni sulla trasparenza dell'azienda.

Malware, exploit Java e accesso a lungo termine

CyberAngel ha citato una fonte anonima che sostiene che la violazione derivi da una vulnerabilità Java del 2020 che ha permesso agli aggressori di installare malware e una web shell sui sistemi Oracle. Il malware avrebbe preso di mira il database di Identity Management di Oracle e l'accesso potrebbe essere iniziato già a gennaio 2025. Oracle sarebbe venuta a conoscenza del problema a fine febbraio, all'incirca nello stesso periodo in cui è stata inoltrata la richiesta di riscatto.

Secondo questa fonte, solo l'infrastruttura cloud di "Gen 1" è stata interessata, in particolare i server del vecchio ambiente Oracle Classic, mentre i server di "Gen 2" più moderni sono rimasti intatti. Tuttavia, i dati compromessi, sebbene risalgano ad almeno 16 mesi fa, sembrano essere collegati ad ambienti di produzione reali e account di clienti reali.

La violazione di Oracle Health aumenta le conseguenze

Mentre Oracle continua a rilasciare solo poche dichiarazioni pubbliche, sono emerse anche segnalazioni di una violazione separata che ha coinvolto i sistemi di Oracle Health. L'esposizione simultanea di dati di clienti e pazienti provenienti da diversi sistemi Oracle ha suscitato seria preoccupazione sia tra i professionisti della sicurezza informatica che tra gli enti regolatori.

La gestione della violazione del cloud da parte di Oracle – dai dinieghi iniziali alla limitata assistenza ai clienti – ha suscitato critiche da parte di tutto il settore della sicurezza. Mentre gli investigatori dell'FBI e di CrowdStrike indagano sulla questione, molti chiedono maggiore trasparenza da parte di Oracle per aiutare le organizzazioni interessate a valutare i rischi e ad adottare le misure necessarie per proteggersi.