ਸ਼ੁਰੂਆਤੀ ਇਨਕਾਰ ਤੋਂ ਬਾਅਦ ਓਰੇਕਲ ਨੇ ਕਲਾਉਡ ਉਲੰਘਣਾ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ - ਹੈਕਰ ਦੇ ਦਾਅਵਿਆਂ, ਲੀਕ ਹੋਏ ਡੇਟਾ, ਅਤੇ ਚੁੱਪ ਚੇਤਾਵਨੀਆਂ ਨੇ ਭਰਵੱਟੇ ਉਠਾਏ
ਪਾਰਦਰਸ਼ਤਾ ਅਤੇ ਕਲਾਉਡ ਸੁਰੱਖਿਆ ਬਾਰੇ ਗੰਭੀਰ ਸਵਾਲ ਖੜ੍ਹੇ ਕਰਨ ਵਾਲੀਆਂ ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਓਰੇਕਲ ਨੂੰ ਆਪਣੇ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਉਲੰਘਣਾ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਿਆ ਹੈ - ਹਾਲਾਂਕਿ ਪਹਿਲਾਂ ਦੇ ਦਾਅਵਿਆਂ ਵਿੱਚ ਅਜਿਹੀ ਕਿਸੇ ਵੀ ਘਟਨਾ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਤਕਨੀਕੀ ਦਿੱਗਜ ਨੇ ਉਦੋਂ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਗਾਹਕਾਂ ਨੂੰ ਚੁੱਪ-ਚਾਪ ਸੁਚੇਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ, ਫਿਰ ਵੀ ਹਮਲੇ ਦੇ ਦਾਇਰੇ ਅਤੇ ਗੰਭੀਰਤਾ ਨੂੰ ਘੱਟ ਕਰਨਾ ਜਾਰੀ ਰੱਖਿਆ ਹੈ।
ਇਹ ਉਲੰਘਣਾ ਪਹਿਲੀ ਵਾਰ ਉਦੋਂ ਸਾਹਮਣੇ ਆਈ ਜਦੋਂ ਇੱਕ ਹੈਕਰ ਨੇ ਉਪਨਾਮ rose87168 ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਓਰੇਕਲ ਕਲਾਉਡ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਲੀਕ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ, ਜਿਸ ਨਾਲ 140,000 ਤੋਂ ਵੱਧ ਕਿਰਾਏਦਾਰ ਪ੍ਰਭਾਵਿਤ ਹੋਏ। ਇਸ ਡੇਟਾ ਵਿੱਚ ਕਥਿਤ ਤੌਰ 'ਤੇ ਏਨਕ੍ਰਿਪਟਡ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਗਾਹਕ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੈ। ਹਮਲਾਵਰ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਓਰੇਕਲ ਤੋਂ $20 ਮਿਲੀਅਨ ਦੀ ਫਿਰੌਤੀ ਦੀ ਮੰਗ ਕੀਤੀ, ਪਰ ਕੋਈ ਭੁਗਤਾਨ ਨਾ ਮਿਲਣ ਤੋਂ ਬਾਅਦ, ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ ਦੇ ਬਦਲੇ ਵਿਕਰੀ ਜਾਂ ਵਪਾਰ ਲਈ ਪੇਸ਼ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ।
ਇਨ੍ਹਾਂ ਦੋਸ਼ਾਂ ਦੇ ਬਾਵਜੂਦ, ਓਰੇਕਲ ਦਾ ਸ਼ੁਰੂਆਤੀ ਜਵਾਬ ਸਪੱਸ਼ਟ ਸੀ: "ਓਰੇਕਲ ਕਲਾਉਡ ਦੀ ਕੋਈ ਉਲੰਘਣਾ ਨਹੀਂ ਹੋਈ ਹੈ। ਪ੍ਰਕਾਸ਼ਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਓਰੇਕਲ ਕਲਾਉਡ ਲਈ ਨਹੀਂ ਹਨ। ਕਿਸੇ ਵੀ ਓਰੇਕਲ ਕਲਾਉਡ ਗਾਹਕ ਨੂੰ ਉਲੰਘਣਾ ਦਾ ਸਾਹਮਣਾ ਨਹੀਂ ਕਰਨਾ ਪਿਆ ਜਾਂ ਕੋਈ ਡੇਟਾ ਨਹੀਂ ਗੁਆਇਆ ਗਿਆ।" ਹਾਲਾਂਕਿ, ਉਸ ਬਿਆਨ ਨੂੰ ਹੁਣ ਵਧਦੇ ਸਬੂਤਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਅਤੇ ਗਾਹਕਾਂ ਦੋਵਾਂ ਤੋਂ ਸੁਤੰਤਰ ਪੁਸ਼ਟੀਆਂ ਦੁਆਰਾ ਚੁਣੌਤੀ ਦਿੱਤੀ ਜਾ ਰਹੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਹੈਕਰ ਦੇ ਸਬੂਤ ਓਰੇਕਲ ਦੇ ਇਨਕਾਰਾਂ ਦਾ ਖੰਡਨ ਕਰਦੇ ਹਨ
ਸਕਿਓਰਿਟੀਵੀਕ ਦੇ ਅਨੁਸਾਰ, ਹੈਕਰ ਨੇ ਕਈ ਸਬੂਤ ਪ੍ਰਦਾਨ ਕੀਤੇ ਹਨ, ਜਿਸ ਵਿੱਚ 10,000 ਗਾਹਕਾਂ ਦੇ ਰਿਕਾਰਡਾਂ ਦਾ ਨਮੂਨਾ, ਇੱਕ ਵੀਡੀਓ ਜੋ ਇੱਕ ਅੰਦਰੂਨੀ ਓਰੇਕਲ ਮੀਟਿੰਗ ਦਿਖਾਉਂਦਾ ਜਾਪਦਾ ਹੈ, ਅਤੇ ਇੱਕ ਫਾਈਲ ਜੋ ਓਰੇਕਲ ਦੇ ਕਲਾਉਡ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਦਰਸਾਉਂਦੀ ਹੈ। ਕੁਝ ਲੀਕ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕਥਿਤ ਤੌਰ 'ਤੇ 2024 ਦੇ ਹਨ, ਜੋ ਓਰੇਕਲ ਦੇ ਦਾਅਵੇ ਦਾ ਖੰਡਨ ਕਰਦੇ ਹਨ - ਜਿਵੇਂ ਕਿ ਬਲੂਮਬਰਗ ਦੁਆਰਾ ਰਿਪੋਰਟ ਕੀਤਾ ਗਿਆ ਹੈ - ਕਿ ਪ੍ਰਭਾਵਿਤ ਵਾਤਾਵਰਣ ਨੂੰ ਅੱਠ ਸਾਲਾਂ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਵਰਤਿਆ ਨਹੀਂ ਗਿਆ ਹੈ।
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਕੇਵਿਨ ਬਿਊਮੋਂਟ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਓਰੇਕਲ ਸੱਚਾਈ ਨੂੰ ਲੁਕਾਉਣ ਲਈ "ਜਨਰਲ 1" ਵਰਗੀ ਅਸਪਸ਼ਟ ਸ਼ਬਦਾਵਲੀ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ। ਉਸਨੇ ਦੱਸਿਆ ਕਿ ਓਰੇਕਲ ਕਲਾਸਿਕ, ਜੋ ਕਿ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਉਸ ਲੇਬਲ ਦੇ ਅਧੀਨ ਆਉਂਦਾ ਹੈ, ਅਜੇ ਵੀ ਕੰਪਨੀ ਦੇ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਹਿੱਸਾ ਹੈ। ਇਹ ਅਰਥਪੂਰਨ ਸਪਿਨ, ਉਹ ਕਹਿੰਦਾ ਹੈ, ਓਰੇਕਲ ਨੂੰ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ "ਓਰੇਕਲ ਕਲਾਉਡ" ਦੀ ਉਲੰਘਣਾ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਭਾਵੇਂ ਡੇਟਾ ਵਿਰਾਸਤੀ ਕਲਾਉਡ ਪ੍ਰਣਾਲੀਆਂ ਤੋਂ ਆਇਆ ਹੋਵੇ।
ਬਿਊਮੋਂਟ ਨੇ ਇਹ ਵੀ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਓਰੇਕਲ ਨੇ ਗਾਹਕਾਂ ਨੂੰ ਲਿਖਤੀ ਸੂਚਨਾਵਾਂ ਨਹੀਂ ਭੇਜੀਆਂ ਹਨ; ਇਸ ਦੀ ਬਜਾਏ, ਚੇਤਾਵਨੀਆਂ ਕਥਿਤ ਤੌਰ 'ਤੇ ਸਿਰਫ ਮੌਖਿਕ ਸਨ - ਜਿਸ ਨਾਲ ਕੰਪਨੀ ਦੀ ਪਾਰਦਰਸ਼ਤਾ ਬਾਰੇ ਚਿੰਤਾਵਾਂ ਹੋਰ ਵਧੀਆਂ ਹਨ।
ਮਾਲਵੇਅਰ, ਜਾਵਾ ਐਕਸਪਲੋਇਟ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ
ਸਾਈਬਰਏਂਜਲ ਨੇ ਇੱਕ ਅਗਿਆਤ ਸਰੋਤ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ ਜੋ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਇਹ ਉਲੰਘਣਾ 2020 ਜਾਵਾ ਕਮਜ਼ੋਰੀ ਤੋਂ ਹੋਈ ਹੈ ਜਿਸਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਓਰੇਕਲ ਸਿਸਟਮਾਂ 'ਤੇ ਮਾਲਵੇਅਰ ਅਤੇ ਇੱਕ ਵੈੱਬ ਸ਼ੈੱਲ ਸਥਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ। ਮਾਲਵੇਅਰ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਓਰੇਕਲ ਦੇ ਪਛਾਣ ਪ੍ਰਬੰਧਨ ਡੇਟਾਬੇਸ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਸੀ, ਅਤੇ ਪਹੁੰਚ ਜਨਵਰੀ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਸ਼ੁਰੂ ਹੋ ਗਈ ਹੋ ਸਕਦੀ ਹੈ। ਓਰੇਕਲ ਨੂੰ ਕਥਿਤ ਤੌਰ 'ਤੇ ਫਰਵਰੀ ਦੇ ਅਖੀਰ ਵਿੱਚ, ਜਦੋਂ ਫਿਰੌਤੀ ਦੀ ਮੰਗ ਕੀਤੀ ਗਈ ਸੀ, ਇਸ ਮੁੱਦੇ ਬਾਰੇ ਪਤਾ ਲੱਗਿਆ ਸੀ।
ਇਸ ਸਰੋਤ ਦੇ ਅਨੁਸਾਰ, ਸਿਰਫ਼ "ਜਨਰੇਸ਼ਨ 1" ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ ਸੀ - ਖਾਸ ਤੌਰ 'ਤੇ, ਪੁਰਾਣੇ ਓਰੇਕਲ ਕਲਾਸਿਕ ਵਾਤਾਵਰਣ ਵਿੱਚ ਸਰਵਰ - ਜਦੋਂ ਕਿ ਵਧੇਰੇ ਆਧੁਨਿਕ "ਜਨਰੇਸ਼ਨ 2" ਸਰਵਰ ਅਛੂਤੇ ਸਨ। ਫਿਰ ਵੀ, ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਡੇਟਾ, ਜਦੋਂ ਕਿ ਕਥਿਤ ਤੌਰ 'ਤੇ ਘੱਟੋ-ਘੱਟ 16 ਮਹੀਨੇ ਪੁਰਾਣਾ ਹੈ, ਅਸਲ ਉਤਪਾਦਨ ਵਾਤਾਵਰਣ ਅਤੇ ਅਸਲ ਗਾਹਕ ਖਾਤਿਆਂ ਨਾਲ ਜੁੜਿਆ ਜਾਪਦਾ ਹੈ।
ਓਰੇਕਲ ਹੈਲਥ ਉਲੰਘਣਾ ਨਤੀਜੇ ਵਿੱਚ ਵਾਧਾ ਕਰਦੀ ਹੈ
ਜਿਵੇਂ ਕਿ ਓਰੇਕਲ ਸਿਰਫ ਸੀਮਤ ਜਨਤਕ ਬਿਆਨ ਜਾਰੀ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ, ਓਰੇਕਲ ਹੈਲਥ ਸਿਸਟਮ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਵੱਖਰੀ ਉਲੰਘਣਾ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਵੀ ਸਾਹਮਣੇ ਆਈਆਂ ਹਨ। ਵੱਖ-ਵੱਖ ਓਰੇਕਲ ਸਿਸਟਮਾਂ ਤੋਂ ਗਾਹਕਾਂ ਅਤੇ ਮਰੀਜ਼ਾਂ ਦੇ ਡੇਟਾ ਦੇ ਇੱਕੋ ਸਮੇਂ ਐਕਸਪੋਜਰ ਨੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਅਤੇ ਰੈਗੂਲੇਟਰਾਂ ਦੋਵਾਂ ਨੂੰ ਗੰਭੀਰ ਚਿੰਤਾਵਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਿਆ ਹੈ।
ਓਰੇਕਲ ਵੱਲੋਂ ਕਲਾਉਡ ਉਲੰਘਣਾ ਨਾਲ ਨਜਿੱਠਣ ਦੇ ਤਰੀਕੇ - ਸ਼ੁਰੂਆਤੀ ਇਨਕਾਰਾਂ ਤੋਂ ਲੈ ਕੇ ਸੀਮਤ ਗਾਹਕ ਪਹੁੰਚ ਤੱਕ - ਨੇ ਸੁਰੱਖਿਆ ਉਦਯੋਗ ਵਿੱਚ ਆਲੋਚਨਾਵਾਂ ਨੂੰ ਸੱਦਾ ਦਿੱਤਾ ਹੈ। ਜਿਵੇਂ ਕਿ FBI ਅਤੇ CrowdStrike ਦੇ ਜਾਂਚਕਰਤਾ ਇਸ ਮਾਮਲੇ ਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਹਨ, ਬਹੁਤ ਸਾਰੇ ਪ੍ਰਭਾਵਿਤ ਸੰਗਠਨਾਂ ਨੂੰ ਜੋਖਮ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਅਤੇ ਆਪਣੀ ਰੱਖਿਆ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਚੁੱਕਣ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਓਰੇਕਲ ਤੋਂ ਵਧੇਰੇ ਪਾਰਦਰਸ਼ਤਾ ਦੀ ਮੰਗ ਕਰ ਰਹੇ ਹਨ।