Oracle bekräftar molnintrång efter första avslag – hackeranspråk, läckta data och tysta varningar höjer ögonbrynen
I en vändning av händelser som väcker allvarliga frågor om transparens och molnsäkerhet, har Oracle enligt uppgift drabbats av ett betydande dataintrång som involverar dess molninfrastruktur – trots tidigare påståenden som förnekar någon sådan incident. Teknikjätten har sedan dess i tysthet börjat varna drabbade kunder, men fortsätter ändå att tona ned attackens omfattning och svårighetsgrad.
Intrånget uppdagades först när en hacker som använde aliaset rose87168 började läcka vad de hävdade var känslig data från Oracle Cloud, vilket påverkade över 140 000 hyresgäster. Dessa uppgifter påstås innehålla krypterade autentiseringsuppgifter, användarnamn och annan kritisk kundinformation. Angriparen krävde initialt en lösensumma på 20 miljoner dollar från Oracle, men efter att inte ha mottagit någon betalning började han erbjuda den stulna informationen till försäljning eller handel i utbyte mot nolldagars bedrifter.
Trots dessa anklagelser var Oracles initiala svar kategorisk: "Det har inte skett något brott mot Oracle Cloud. De publicerade referenserna är inte för Oracle Cloud. Inga Oracle Cloud-kunder upplevde ett intrång eller förlorade någon data." Men det uttalandet ifrågasätts nu av bevis och oberoende bekräftelser från både säkerhetsexperter och kunder.
Innehållsförteckning
Hackerbevis motsäger Oracles förnekelser
Enligt SecurityWeek har hackaren tillhandahållit flera bevis, inklusive ett urval av 10 000 kundregister, en video som verkar visa ett internt Oracle-möte och en fil som visar åtkomst till Oracles molnsystem. Vissa läckta referenser är enligt uppgift från 2024, vilket motsäger Oracles påstående – som rapporterats av Bloomberg – att den påverkade miljön inte har använts på över åtta år.
Säkerhetsforskaren Kevin Beaumont misstänker att Oracle använder vag terminologi som "Gen 1" för att dölja sanningen. Han påpekade att Oracle Classic, som sannolikt faller under den etiketten, fortfarande är en del av företagets molninfrastruktur. Denna semantiska spin, säger han, tillåter Oracle att tekniskt förneka ett brott mot "Oracle Cloud", även om data härrörde från äldre molnsystem.
Beaumont avslöjade också att Oracle inte har skickat skriftliga meddelanden till kunder; i stället har varningarna enligt uppgift endast varit muntliga – vilket ytterligare väckt oro över företagets transparens.
Skadlig programvara, Java Exploit och Långsiktig åtkomst
CyberAngel citerade en anonym källa som hävdar att intrånget härrör från en Java-sårbarhet 2020 som gjorde det möjligt för angripare att installera skadlig programvara och ett webbskal på Oracle-system. Skadlig programvara uppges ha riktat sig mot Oracles Identity Management-databas, och åtkomsten kan ha börjat redan i januari 2025. Oracle ska ha blivit medveten om problemet i slutet av februari, ungefär när kravet på lösen gjordes.
Enligt denna källa påverkades endast "Gen 1"-molninfrastrukturen - specifikt servrar i den äldre Oracle Classic-miljön - medan mer moderna "Gen 2"-servrar var orörda. Ändå verkar de komprometterade uppgifterna, även om de enligt uppgift är minst 16 månader gamla, vara kopplade till verkliga produktionsmiljöer och riktiga kundkonton.
Oracle Health Breach bidrar till nedfallet
Eftersom Oracle fortsätter att endast utfärda begränsade offentliga uttalanden har det också dykt upp rapporter om ett separat intrång som involverar Oracle Health-system. Den samtidiga exponeringen av kund- och patientdata från olika Oracle-system har väckt allvarlig oro från både cybersäkerhetsproffs och tillsynsmyndigheter.
Oracles hantering av molnintrånget – från dess initiala avslag till begränsad kundkontakt – har väckt kritik från hela säkerhetsbranschen. När utredare från FBI och CrowdStrike undersöker ärendet efterlyser många större transparens från Oracle för att hjälpa berörda organisationer att bedöma risker och vidta nödvändiga åtgärder för att skydda sig själva.