Oracle potrjuje vdor v oblak po začetni zavrnitvi – trditve hekerjev, uhajajoči podatki in tiha opozorila dvigujejo obrvi
V obratu dogodkov, ki sproža resna vprašanja o preglednosti in varnosti v oblaku, naj bi Oracle utrpel znatno kršitev podatkov, ki vključuje njegovo infrastrukturo v oblaku – kljub prejšnjim trditvam, ki so zanikale tak incident. Tehnološki velikan je od takrat začel tiho opozarjati prizadete stranke, vendar še naprej omalovažuje obseg in resnost napada.
Kršitev je prvič prišla na dan, ko je heker, ki je uporabljal vzdevek rose87168, začel iz Oracle Cloud uhajati, za kar so trdili, da so občutljivi podatki, kar je prizadelo več kot 140.000 najemnikov. Ti podatki naj bi vključevali šifrirane poverilnice, uporabniška imena in druge pomembne informacije o strankah. Napadalec je od Oracla sprva zahteval 20 milijonov dolarjev odkupnine, a potem ko ni prejel plačila, je začel ponujati ukradene podatke za prodajo ali trgovanje v zameno za zero-day podvige.
Kljub tem obtožbam je bil Oraclov prvi odgovor kategoričen: "Ni prišlo do vdora v Oracle Cloud. Objavljene poverilnice niso za Oracle Cloud. Nobena stranka Oracle Cloud ni doživela vdora ali izgubila podatkov." To izjavo pa zdaj izpodbijajo vse večji dokazi in neodvisne potrditve varnostnih strokovnjakov in strank.
Kazalo
Hekerski dokazi so v nasprotju z Oraclovimi zanikanji
Po poročanju SecurityWeek je heker predložil številne dokaze, vključno z vzorcem 10.000 zapisov o strankah, videoposnetkom, ki prikazuje notranji sestanek Oracle, in datoteko, ki prikazuje dostop do Oraclovih sistemov v oblaku. Nekatere razkrite poverilnice naj bi bile iz leta 2024, kar je v nasprotju z Oraclovo trditvijo – kot poroča Bloomberg – da prizadeto okolje ni bilo uporabljeno že več kot osem let.
Varnostni raziskovalec Kevin Beaumont sumi, da Oracle uporablja nejasno terminologijo, kot je "Gen 1", da bi prikril resnico. Poudaril je, da je Oracle Classic, ki verjetno spada pod to oznako, še vedno del infrastrukture v oblaku podjetja. To semantično vrtenje, pravi, omogoča Oraclu, da tehnično zavrne kršitev »Oracle Cloud«, tudi če podatki izvirajo iz podedovanih sistemov v oblaku.
Beaumont je tudi razkril, da Oracle strankam ni poslal pisnih obvestil; namesto tega naj bi bila opozorila le ustna, kar še dodatno vzbuja pomisleke glede preglednosti podjetja.
Zlonamerna programska oprema, izkoriščanje Jave in dolgoročni dostop
CyberAngel je navedel anonimni vir, ki trdi, da je vdor posledica ranljivosti Jave iz leta 2020, ki je napadalcem omogočila namestitev zlonamerne programske opreme in spletne lupine v sisteme Oracle. Zlonamerna programska oprema naj bi ciljala na Oraclovo zbirko podatkov Identity Management, dostop pa se je morda začel že januarja 2025. Oracle naj bi se za težavo zavedel konec februarja, približno v času, ko je bila vložena zahteva po odkupnini.
Glede na ta vir je bila prizadeta le infrastruktura v oblaku »Gen 1« – natančneje strežniki v starejšem okolju Oracle Classic – medtem ko so bili sodobni strežniki »Gen 2« nedotaknjeni. Kljub temu se zdi, da so ogroženi podatki, čeprav naj bi bili stari najmanj 16 mesecev, povezani z resničnimi proizvodnimi okolji in resničnimi računi strank.
Kršitev zdravja Oracle prispeva k izpadu
Ker Oracle še naprej izdaja le omejene javne izjave, so se pojavila tudi poročila o ločeni kršitvi, ki vključuje sisteme Oracle Health. Hkratna izpostavljenost podatkov strank in bolnikov iz različnih sistemov Oracle je povzročila resno zaskrbljenost strokovnjakov za kibernetsko varnost in regulatorjev.
Oraclovo ravnanje z vdorom v oblak – od njegovih začetnih zavrnitev do omejenega dosega strank – je povzročilo kritike celotne varnostne industrije. Medtem ko preiskovalci FBI in CrowdStrike preučujeta zadevo, mnogi od Oracla zahtevajo večjo preglednost, da bi prizadetim organizacijam pomagal oceniti tveganje in sprejeti potrebne ukrepe za zaščito.