„Oracle“ patvirtina debesų pažeidimą po pirminio atmetimo – įsilaužėlių pretenzijos, nutekėję duomenys ir tylūs įspėjimai kelia antakius
Vykstant įvykiams, kurie kelia rimtų klausimų dėl skaidrumo ir debesų saugos, pranešama, kad „Oracle“ patyrė didelį duomenų pažeidimą, susijusį su debesijos infrastruktūra, nepaisant ankstesnių tvirtinimų, neigiančių bet kokį tokį incidentą. Nuo to laiko technologijų milžinas pradėjo tyliai įspėti paveiktus klientus, tačiau toliau menkina atakos mastą ir sunkumą.
Pažeidimas pirmą kartą išaiškėjo, kai įsilaužėlis, naudojęs slapyvardį rose87168 , pradėjo nutekėti, jų teigimu, neskelbtinus duomenis iš „Oracle Cloud“, ir tai paveikė daugiau nei 140 000 nuomininkų. Šie duomenys tariamai apima užšifruotus kredencialus, naudotojų vardus ir kitą svarbią klientų informaciją. Iš pradžių užpuolikas pareikalavo iš „Oracle“ 20 milijonų dolerių išpirkos, tačiau negavęs jokio užmokesčio pradėjo siūlyti pavogtus duomenis parduoti arba prekiauti mainais už nulinės dienos išnaudojimą.
Nepaisant šių kaltinimų, pradinis „Oracle“ atsakymas buvo kategoriškas: „Nebuvo jokio Oracle Cloud pažeidimo. Paskelbti kredencialai nėra skirti Oracle Cloud. Nė vienas „Oracle Cloud“ klientas nepatyrė pažeidimo ar prarado duomenų. Tačiau šį teiginį dabar ginčija vis daugiau įrodymų ir nepriklausomų saugumo ekspertų ir klientų patvirtinimų.
Turinys
Įsilaužėlių įrodymai prieštarauja „Oracle“ neigimams
Anot SecurityWeek , įsilaužėlis pateikė daugybę įrodymų, įskaitant 10 000 klientų įrašų pavyzdį, vaizdo įrašą, kuriame rodomas vidinis Oracle susitikimas, ir failą, rodantį prieigą prie Oracle debesų sistemų. Pranešama, kad kai kurie nutekėję kredencialai yra 2024 m., o tai prieštarauja „Oracle“ teiginiui, kaip pranešė „Bloomberg “, kad paveikta aplinka nebuvo naudojama daugiau nei aštuonerius metus.
Saugumo tyrinėtojas Kevinas Beaumontas įtaria, kad „Oracle“ naudoja neaiškią terminiją, pvz., „Gen 1“, kad nuslėptų tiesą. Jis atkreipė dėmesį į tai, kad „Oracle Classic“, kuri greičiausiai priklauso šiai etiketei, vis dar yra bendrovės debesų infrastruktūros dalis. Šis semantinis sukimas, pasak jo, leidžia „Oracle“ techniškai paneigti „Oracle Cloud“ pažeidimą, net jei duomenys buvo gauti iš senų debesų sistemų.
Beaumont taip pat atskleidė, kad „Oracle“ neišsiuntė raštiškų pranešimų klientams; Vietoj to, pranešama, perspėjimai buvo tik žodiniai, o tai dar labiau padidino susirūpinimą dėl bendrovės skaidrumo.
Kenkėjiškos programos, „Java Exploit“ ir ilgalaikė prieiga
„CyberAngel“ citavo anoniminį šaltinį, kuris teigia, kad pažeidimas kilo dėl 2020 m. „Java“ pažeidžiamumo, leidžiančio užpuolikams įdiegti kenkėjiškas programas ir žiniatinklio apvalkalą „Oracle“ sistemose. Pranešama, kad kenkėjiška programa buvo nukreipta į „Oracle“ tapatybės valdymo duomenų bazę, o prieiga galėjo prasidėti jau 2025 m. sausio mėn. Tariamai „Oracle“ apie problemą sužinojo vasario pabaigoje, maždaug tuo metu, kai buvo reikalaujama sumokėti išpirką.
Remiantis šiuo šaltiniu, buvo paveikta tik „Gen 1“ debesies infrastruktūra, ypač serveriai senesnėje „Oracle Classic“ aplinkoje, o modernesni „Gen 2“ serveriai buvo nepaliesti. Vis dėlto, nors pranešama, kad pažeisti duomenys yra mažiausiai 16 mėnesių senumo, jie yra susieti su realia gamybos aplinka ir tikromis klientų paskyromis.
„Oracle“ sveikatos pažeidimas padidina kritimą
Kadangi „Oracle“ ir toliau skelbia tik ribotus viešus pareiškimus, taip pat pasirodė pranešimų apie atskirą pažeidimą, susijusį su „Oracle Health“ sistemomis. Klientų ir pacientų duomenų iš skirtingų „Oracle“ sistemų vienu metu atskleidimas sukėlė rimtą kibernetinio saugumo specialistų ir reguliavimo institucijų susirūpinimą.
„Oracle“ tvarko debesies pažeidimą – nuo pradinių atsisakymų iki riboto klientų informavimo – sulaukė kritikos iš visos saugos pramonės. FTB ir „CrowdStrike“ tyrėjams nagrinėjant šį klausimą, daugelis „Oracle“ ragina užtikrinti didesnį skaidrumą, kad padėtų paveiktoms organizacijoms įvertinti riziką ir imtis būtinų priemonių apsisaugoti.