Oracle po prvotnom odmietnutí potvrdzuje narušenie cloudu – Nároky hackerov, únik údajov a tiché upozornenia vyvolávajú obočie
V zvrate udalostí, ktoré vyvolávajú vážne otázky o transparentnosti a bezpečnosti cloudu, spoločnosť Oracle údajne utrpela významné porušenie údajov týkajúcich sa jej cloudovej infraštruktúry – napriek predchádzajúcim tvrdeniam, ktoré takýto incident popierajú. Technologický gigant odvtedy začal potichu upozorňovať dotknutých zákazníkov, no rozsah a závažnosť útoku naďalej bagatelizuje.
Narušenie prvýkrát vyšlo najavo, keď hacker používajúci alias rose87168 začal unikať, ako tvrdili, citlivé údaje z Oracle Cloud, čo ovplyvnilo viac ako 140 000 nájomníkov. Tieto údaje údajne zahŕňajú zašifrované prihlasovacie údaje, používateľské mená a ďalšie dôležité informácie o zákazníkoch. Útočník pôvodne požadoval od Oracle výkupné vo výške 20 miliónov dolárov, no po tom, čo nedostal žiadnu platbu, začal ukradnuté dáta ponúkať na predaj alebo výmenu za zero-day exploity.
Napriek týmto obvineniam bola počiatočná odpoveď spoločnosti Oracle kategorická: "Nedošlo k žiadnemu narušeniu služby Oracle Cloud. Zverejnené poverenia nie sú pre službu Oracle Cloud. Žiadny zákazník služby Oracle Cloud nezaznamenal porušenie alebo nestratil žiadne údaje." Toto vyhlásenie je však teraz spochybňované pribúdajúcimi dôkazmi a nezávislými potvrdeniami od bezpečnostných expertov a zákazníkov.
Obsah
Dôkazy hackerov sú v rozpore s odmietnutiami spoločnosti Oracle
Podľa SecurityWeek poskytol hacker viacero dôkazov vrátane vzorky 10 000 záznamov zákazníkov, videa, ktoré zrejme ukazuje interné stretnutie Oracle, a súboru demonštrujúceho prístup ku cloudovým systémom Oracle. Niektoré uniknuté prihlasovacie údaje sú údajne z roku 2024, čo je v rozpore s tvrdením spoločnosti Oracle – ako uvádza agentúra Bloomberg – že dotknuté prostredie nebolo použité viac ako osem rokov.
Bezpečnostný výskumník Kevin Beaumont má podozrenie, že Oracle používa nejasnú terminológiu ako „Gen 1“, aby zakryl pravdu. Poukázal na to, že Oracle Classic, ktorý pravdepodobne spadá pod toto označenie, je stále súčasťou cloudovej infraštruktúry spoločnosti. Toto sémantické otáčanie, hovorí, umožňuje spoločnosti Oracle technicky popierať porušenie „Oracle Cloud“, aj keď údaje pochádzajú zo starších cloudových systémov.
Beaumont tiež odhalil, že Oracle neposlal zákazníkom písomné upozornenia; namiesto toho boli varovania údajne iba verbálne, čo ďalej vyvolávalo obavy o transparentnosť spoločnosti.
Malvér, Java Exploit a dlhodobý prístup
CyberAngel citoval anonymný zdroj, ktorý tvrdí, že porušenie pochádza zo zraniteľnosti Java z roku 2020, ktorá útočníkom umožnila nainštalovať malvér a webový shell na systémy Oracle. Malvér sa údajne zameral na databázu Oracle Identity Management a prístup sa mohol začať už v januári 2025. Oracle sa údajne o probléme dozvedel koncom februára, približne v čase, keď bola vznesená požiadavka na výkupné.
Podľa tohto zdroja bola ovplyvnená iba cloudová infraštruktúra „Gen 1“ – konkrétne servery v staršom prostredí Oracle Classic – zatiaľ čo modernejšie servery „Gen 2“ zostali nedotknuté. Napriek tomu sa zdá, že kompromitované údaje, hoci sú údajne staré najmenej 16 mesiacov, súvisia so skutočnými produkčnými prostrediami a skutočnými účtami zákazníkov.
Oracle Health Breach sa pridáva k Falloutu
Keďže Oracle naďalej vydáva iba obmedzené verejné vyhlásenia, objavili sa aj správy o samostatnom porušení týkajúcom sa systémov Oracle Health. Súčasné vystavenie údajov o zákazníkoch a pacientoch z rôznych systémov Oracle vyvolalo vážne obavy odborníkov v oblasti kybernetickej bezpečnosti aj regulačných orgánov.
Riešenie narušenia cloudu spoločnosťou Oracle – od počiatočného odmietnutia až po obmedzený dosah na zákazníkov – vyvolalo kritiku z celého bezpečnostného odvetvia. Zatiaľ čo vyšetrovatelia z FBI a CrowdStrike túto záležitosť skúmajú, mnohí požadujú väčšiu transparentnosť od spoločnosti Oracle, aby pomohla dotknutým organizáciám posúdiť riziko a podniknúť potrebné kroky na svoju ochranu.