Oracle bekrefter brudd på skyen etter første avslag – Hackerpåstander, lekke data og stille varsler løfter øyenbrynene
I en vending av hendelser som reiser alvorlige spørsmål om åpenhet og skysikkerhet, har Oracle angivelig lidd av et betydelig datainnbrudd som involverer skyinfrastrukturen deres – til tross for tidligere påstander som nekter for en slik hendelse. Teknikgiganten har siden i det stille begynt å varsle berørte kunder, men fortsetter likevel å bagatellisere omfanget og alvorlighetsgraden av angrepet.
Bruddet kom først frem da en hacker som brukte aliaset rose87168 begynte å lekke det de hevdet var sensitive data fra Oracle Cloud, og påvirket over 140 000 leietakere. Disse dataene inkluderer angivelig kryptert legitimasjon, brukernavn og annen kritisk kundeinformasjon. Angriperen krevde opprinnelig en løsepenge på 20 millioner dollar fra Oracle, men etter å ikke ha mottatt noen betaling, begynte han å tilby de stjålne dataene for salg eller handel i bytte mot nulldagers utnyttelser.
Til tross for disse påstandene, var Oracles første svar kategorisk: "Det har ikke vært noe brudd på Oracle Cloud. Den publiserte legitimasjonen er ikke for Oracle Cloud. Ingen Oracle Cloud-kunder opplevde et brudd eller mistet noen data." Denne uttalelsen blir imidlertid nå utfordret av bevis og uavhengige bekreftelser fra både sikkerhetseksperter og kunder.
Innholdsfortegnelse
Hackerbevis motsier Oracles fornektelser
Ifølge SecurityWeek har hackeren levert flere bevis, inkludert et utvalg av 10 000 kunderegistre, en video som ser ut til å vise et internt Oracle-møte, og en fil som viser tilgang til Oracles skysystemer. Noen lekkede legitimasjoner er angivelig fra 2024, og motsier Oracles påstand - som rapportert av Bloomberg - om at det berørte miljøet ikke har blitt brukt på over åtte år.
Sikkerhetsforsker Kevin Beaumont mistenker at Oracle bruker vag terminologi som «Gen 1» for å skjule sannheten. Han påpekte at Oracle Classic, som sannsynligvis faller inn under denne etiketten, fortsatt er en del av selskapets skyinfrastruktur. Dette semantiske spinnet, sier han, lar Oracle teknisk avvise et brudd på «Oracle Cloud», selv om dataene stammer fra eldre skysystemer.
Beaumont avslørte også at Oracle ikke har sendt skriftlige varsler til kunder; i stedet har varslene angivelig kun vært verbale - noe som gir ytterligere bekymring for selskapets åpenhet.
Skadelig programvare, Java-utnyttelse og langsiktig tilgang
CyberAngel siterte en anonym kilde som hevder bruddet stammer fra en Java-sårbarhet fra 2020 som tillot angripere å installere skadelig programvare og et web-skall på Oracle-systemer. Skadevaren var angivelig rettet mot Oracles Identity Management-database, og tilgangen kan ha begynt allerede i januar 2025. Oracle ble angivelig klar over problemet i slutten av februar, rundt tidspunktet kravet om løsepenger ble fremsatt.
I følge denne kilden ble bare «Gen 1»-skyinfrastrukturen påvirket – spesifikt servere i det eldre Oracle Classic-miljøet – mens mer moderne «Gen 2»-servere var urørt. Likevel ser de kompromitterte dataene, selv om de er angivelig minst 16 måneder gamle, ut til å være knyttet til ekte produksjonsmiljøer og ekte kundekontoer.
Oracle Health Breach legger til nedfallet
Ettersom Oracle fortsetter å gi bare begrensede offentlige uttalelser, har det også dukket opp rapporter om et eget brudd som involverer Oracle Health-systemer. Den samtidige eksponeringen av kunde- og pasientdata fra forskjellige Oracle-systemer har vakt alvorlig bekymring fra både cybersikkerhetspersonell og regulatorer.
Oracles håndtering av skybruddet – fra dets første avslag til begrenset kundeoppsøking – har invitert til kritikk fra hele sikkerhetsbransjen. Mens etterforskere fra FBI og CrowdStrike ser på saken, ber mange om større åpenhet fra Oracle for å hjelpe berørte organisasjoner med å vurdere risiko og ta nødvendige skritt for å beskytte seg selv.