Oracle подтверждает взлом облака после первоначального отрицания — заявления хакеров, утечка данных и молчаливые оповещения вызывают удивление
В ходе событий, которые поднимают серьезные вопросы о прозрачности и безопасности облака, Oracle, как сообщается, пострадала от значительной утечки данных, связанной с ее облачной инфраструктурой, — несмотря на более ранние заявления об отрицании любого подобного инцидента. С тех пор технологический гигант начал тихо предупреждать пострадавших клиентов, но продолжает преуменьшать масштаб и серьезность атаки.
Впервые о взломе стало известно, когда хакер, использующий псевдоним rose87168, начал сливать то, что, по его словам, было конфиденциальными данными из Oracle Cloud, затронув более 140 000 клиентов. Эти данные предположительно включают зашифрованные учетные данные, имена пользователей и другую важную информацию о клиентах. Первоначально злоумышленник потребовал от Oracle выкуп в размере 20 миллионов долларов, но, не получив оплаты, начал предлагать украденные данные для продажи или обмена в обмен на эксплойты нулевого дня.
Несмотря на эти обвинения, первоначальный ответ Oracle был категоричным: «Никакого взлома Oracle Cloud не было. Опубликованные учетные данные не предназначены для Oracle Cloud. Ни один из клиентов Oracle Cloud не столкнулся с нарушением или потерей каких-либо данных». Однако теперь это заявление оспаривается растущими доказательствами и независимыми подтверждениями от экспертов по безопасности и клиентов.
Оглавление
Доказательства хакеров противоречат опровержениям Oracle
По данным SecurityWeek , хакер предоставил множество доказательств, включая выборку из 10 000 записей о клиентах, видео, на котором, по-видимому, показано внутреннее совещание Oracle, и файл, демонстрирующий доступ к облачным системам Oracle. Некоторые просочившиеся учетные данные, как сообщается, относятся к 2024 году, что противоречит заявлению Oracle — как сообщает Bloomberg — о том, что затронутая среда не использовалась более восьми лет.
Исследователь безопасности Кевин Бомонт подозревает, что Oracle использует расплывчатую терминологию вроде «Gen 1», чтобы скрыть правду. Он указал, что Oracle Classic, который, вероятно, попадает под этот ярлык, по-прежнему является частью облачной инфраструктуры компании. Этот семантический поворот, по его словам, позволяет Oracle технически отрицать нарушение «Oracle Cloud», даже если данные исходят из устаревших облачных систем.
Бомонт также сообщил, что Oracle не отправляла письменных уведомлений клиентам; вместо этого, как сообщается, оповещения были только устными, что еще больше усиливает опасения относительно прозрачности компании.
Вредоносное ПО, эксплойт Java и долгосрочный доступ
CyberAngel сослался на анонимный источник, который утверждает, что нарушение произошло из-за уязвимости Java 2020 года, которая позволила злоумышленникам установить вредоносное ПО и веб-оболочку на системах Oracle. Сообщается, что вредоносное ПО было нацелено на базу данных Oracle Identity Management, и доступ к ней мог начаться еще в январе 2025 года. Oracle якобы узнала о проблеме в конце февраля, примерно в то время, когда было выдвинуто требование о выкупе.
По данным этого источника, пострадала только облачная инфраструктура «Gen 1» — в частности, серверы в старой среде Oracle Classic — тогда как более современные серверы «Gen 2» остались нетронутыми. Тем не менее, скомпрометированные данные, хотя, как сообщается, им не менее 16 месяцев, по-видимому, связаны с реальными производственными средами и реальными учетными записями клиентов.
Нарушение здоровья Oracle усиливает последствия
Поскольку Oracle продолжает публиковать лишь ограниченные публичные заявления, также появились сообщения об отдельном взломе, связанном с системами Oracle Health. Одновременное раскрытие данных клиентов и пациентов из разных систем Oracle вызвало серьезную обеспокоенность как у специалистов по кибербезопасности, так и у регулирующих органов.
Действия Oracle по устранению облачного взлома — от первоначальных отрицаний до ограниченного охвата клиентов — вызвали критику со стороны всей индустрии безопасности. Пока следователи из ФБР и CrowdStrike изучают этот вопрос, многие призывают Oracle к большей прозрачности, чтобы помочь пострадавшим организациям оценить риск и предпринять необходимые шаги для своей защиты.