Oracle bevestigt cloudinbreuk na aanvankelijke ontkenning – claims van hackers, gelekte data en stille waarschuwingen doen wenkbrauwen fronsen
In een wending die serieuze vragen oproept over transparantie en cloudbeveiliging, heeft Oracle naar verluidt te maken gehad met een aanzienlijk datalek met betrekking tot zijn cloudinfrastructuur, ondanks eerdere beweringen dat een dergelijk incident werd ontkend. De techgigant is sindsdien stilletjes begonnen met het waarschuwen van getroffen klanten, maar blijft de omvang en ernst van de aanval bagatelliseren.
De inbraak kwam voor het eerst aan het licht toen een hacker met de alias rose87168 beweerde gevoelige gegevens uit Oracle Cloud te lekken, waarmee meer dan 140.000 gebruikers werden getroffen. Deze gegevens zouden versleutelde inloggegevens, gebruikersnamen en andere kritieke klantgegevens bevatten. De aanvaller eiste aanvankelijk een losgeld van 20 miljoen dollar van Oracle, maar nadat hij geen betaling had ontvangen, begon hij de gestolen gegevens te koop of te ruilen in ruil voor zero-day-exploits.
Ondanks deze beschuldigingen was Oracle's eerste reactie categorisch: "Er heeft zich geen inbreuk op Oracle Cloud voorgedaan. De gepubliceerde inloggegevens gelden niet voor Oracle Cloud. Geen enkele Oracle Cloud-klant heeft een inbreuk ondervonden of gegevens verloren." Deze bewering wordt nu echter in twijfel getrokken door toenemend bewijs en onafhankelijke bevestigingen van zowel beveiligingsexperts als klanten.
Inhoudsopgave
Bewijs van hackers spreekt ontkenningen van Oracle tegen
Volgens SecurityWeek heeft de hacker meerdere bewijsstukken verstrekt, waaronder een steekproef van 10.000 klantgegevens, een video die een interne Oracle-vergadering lijkt te tonen en een bestand dat toegang tot de cloudsystemen van Oracle aantoont. Sommige gelekte inloggegevens zouden uit 2024 stammen, wat in tegenspraak is met de bewering van Oracle – zoals gerapporteerd door Bloomberg – dat de getroffen omgeving al meer dan acht jaar niet is gebruikt.
Beveiligingsonderzoeker Kevin Beaumont vermoedt dat Oracle vage terminologie zoals "Gen 1" gebruikt om de waarheid te verhullen. Hij wees erop dat Oracle Classic, dat waarschijnlijk onder die noemer valt, nog steeds deel uitmaakt van de cloudinfrastructuur van het bedrijf. Deze semantische draai, zegt hij, stelt Oracle in staat om technisch gezien een inbreuk op "Oracle Cloud" te ontkennen, zelfs als de gegevens afkomstig zijn van oudere cloudsystemen.
Beaumont maakte tevens bekend dat Oracle geen schriftelijke meldingen naar klanten heeft gestuurd. In plaats daarvan zouden de waarschuwingen alleen mondeling zijn geweest, wat tot nog meer zorgen over de transparantie van het bedrijf heeft geleid.
Malware, Java-exploit en langdurige toegang
CyberAngel citeerde een anonieme bron die beweert dat de inbreuk voortkomt uit een Java-kwetsbaarheid uit 2020 waarmee aanvallers malware en een webshell op Oracle-systemen konden installeren. De malware zou gericht zijn geweest op de Identity Management-database van Oracle, en de toegang zou al in januari 2025 zijn begonnen. Oracle zou eind februari op de hoogte zijn geraakt van het probleem, rond de tijd dat de losgeldeis werd ingediend.
Volgens deze bron werd alleen de "Gen 1" cloudinfrastructuur getroffen – met name servers in de oudere Oracle Classic-omgeving – terwijl modernere "Gen 2"-servers onaangetast bleven. Toch lijken de gecompromitteerde gegevens, hoewel naar verluidt minstens 16 maanden oud, gekoppeld te zijn aan echte productieomgevingen en echte klantaccounts.
Oracle Health-inbreuk vergroot de gevolgen
Omdat Oracle slechts in beperkte mate openbare verklaringen aflegt, zijn er ook meldingen binnengekomen van een afzonderlijke inbreuk op Oracle Health-systemen. De gelijktijdige blootstelling van klant- en patiëntgegevens uit verschillende Oracle-systemen heeft geleid tot ernstige bezorgdheid bij zowel cybersecurityprofessionals als toezichthouders.
Oracle's aanpak van het cloudlek – van de aanvankelijke ontkenningen tot de beperkte klantbetrokkenheid – heeft kritiek gekregen vanuit de hele beveiligingssector. Terwijl onderzoekers van de FBI en CrowdStrike de zaak onderzoeken, roepen velen op tot meer transparantie van Oracle om getroffen organisaties te helpen risico's in te schatten en de nodige maatregelen te nemen om zichzelf te beschermen.