Oracle confirmă încălcarea cloud după respingerea inițială — Afirmațiile hackerilor, datele scurse și alertele silențioase ridică sprâncene
Într-o întorsătură a evenimentelor care ridică întrebări serioase cu privire la transparență și securitatea în cloud, Oracle a suferit o breșă semnificativă a datelor care implică infrastructura sa de cloud - în ciuda afirmațiilor anterioare care neagă orice astfel de incident. De atunci, gigantul tehnologic a început să alerteze în liniște clienții afectați, dar continuă să minimizeze amploarea și gravitatea atacului.
Încălcarea a ieșit la iveală pentru prima dată când un hacker care folosea alias-ul rose87168 a început să scurgă ceea ce pretindea că sunt date sensibile de la Oracle Cloud, afectând peste 140.000 de chiriași. Se presupune că aceste date includ acreditări criptate, nume de utilizator și alte informații esențiale despre clienți. Atacatorul a cerut inițial o răscumpărare de 20 de milioane de dolari de la Oracle, dar după ce nu a primit nicio plată, a început să ofere datele furate spre vânzare sau tranzacționare în schimbul exploatărilor zero-day.
În ciuda acestor acuzații, răspunsul inițial al Oracle a fost categoric: "Nu a existat nicio încălcare a Oracle Cloud. Acreditările publicate nu sunt pentru Oracle Cloud. Niciun client Oracle Cloud nu a experimentat o încălcare sau a pierdut date." Cu toate acestea, această declarație este acum contestată de dovezi în creștere și confirmări independente din partea experților în securitate și a clienților deopotrivă.
Cuprins
Dovezile hackerilor contrazic negările Oracle
Potrivit SecurityWeek , hackerul a furnizat mai multe dovezi, inclusiv un eșantion de 10.000 de înregistrări ale clienților, un videoclip care pare să arate o întâlnire internă Oracle și un fișier care demonstrează accesul la sistemele cloud ale Oracle. Se pare că unele acreditări scurse sunt din 2024, contrazicând afirmația Oracle – după cum a raportat Bloomberg – că mediul afectat nu a fost folosit de peste opt ani.
Cercetătorul de securitate Kevin Beaumont suspectează că Oracle folosește o terminologie vagă precum „Gen 1” pentru a ascunde adevărul. El a subliniat că Oracle Classic, care se încadrează probabil sub această etichetă, face încă parte din infrastructura cloud a companiei. Această întorsătură semantică, spune el, permite Oracle să nege din punct de vedere tehnic o încălcare a „Oracle Cloud”, chiar dacă datele provin din sisteme cloud vechi.
Beaumont a mai dezvăluit că Oracle nu a trimis notificări scrise clienților; în schimb, se pare că alertele au fost doar verbale – ridicând și mai mult îngrijorări cu privire la transparența companiei.
Malware, Java Exploit și acces pe termen lung
CyberAngel a citat o sursă anonimă care susține că încălcarea provine dintr-o vulnerabilitate Java din 2020 care a permis atacatorilor să instaleze malware și un shell web pe sistemele Oracle. Se pare că malware-ul a vizat baza de date Oracle Identity Management, iar accesul poate să fi început încă din ianuarie 2025. Oracle ar fi luat la cunoștință de problemă la sfârșitul lunii februarie, în jurul perioadei în care a fost făcută cererea de răscumpărare.
Potrivit acestei surse, doar infrastructura cloud „Gen 1” a fost afectată – în special, serverele din mediul mai vechi Oracle Classic – în timp ce serverele mai moderne „Gen 2” au fost neatinse. Totuși, datele compromise, deși se pare că au cel puțin 16 luni, par să fie legate de medii reale de producție și de conturi reale de clienți.
Oracle Health Breach se adaugă la Fallout
Pe măsură ce Oracle continuă să emită doar declarații publice limitate, au apărut și rapoarte despre o încălcare separată care implică sistemele Oracle Health. Expunerea simultană a datelor clienților și pacienților din diferite sisteme Oracle a atras îngrijorări serioase atât din partea profesioniștilor în securitate cibernetică, cât și a autorităților de reglementare.
Gestionarea de către Oracle a breșei cloud – de la refuzurile sale inițiale până la atingerea limitată a clienților – a provocat critici din toată industria de securitate. În timp ce anchetatorii de la FBI și CrowdStrike analizează chestiunea, mulți solicită o mai mare transparență de la Oracle pentru a ajuta organizațiile afectate să evalueze riscurile și să ia măsurile necesare pentru a se proteja.