Oracle підтверджує злам у хмарі після початкової відмови — заяви хакерів, витік даних і тихі сповіщення викликають здивування
У ході подій, які викликають серйозні питання щодо прозорості та хмарної безпеки, повідомляється, що Oracle зазнала значного порушення даних, пов’язаного з її хмарною інфраструктурою, незважаючи на попередні заяви, що заперечували будь-який подібний інцидент. Відтоді технологічний гігант почав тихо сповіщати постраждалих клієнтів, але продовжує применшувати масштаб і серйозність атаки.
Про порушення вперше стало відомо, коли хакер під псевдонімом rose87168 почав витік, як вони стверджували, конфіденційних даних з Oracle Cloud, що вплинуло на понад 140 000 орендарів. Ці дані нібито містять зашифровані облікові дані, імена користувачів та іншу важливу інформацію про клієнтів. Спочатку зловмисник вимагав від Oracle викуп у розмірі 20 мільйонів доларів, але, не отримавши платежу, почав пропонувати викрадені дані для продажу або обміну в обмін на експлойти нульового дня.
Незважаючи на ці звинувачення, перша відповідь Oracle була категоричною: "Злому Oracle Cloud не було. Опубліковані облікові дані не стосуються Oracle Cloud. Жоден клієнт Oracle Cloud не зазнав злому або втрати даних". Однак ця заява зараз заперечується зростаючими доказами та незалежними підтвердженнями як від експертів із безпеки, так і від клієнтів.
Зміст
Докази хакерів суперечать запереченням Oracle
За даними SecurityWeek , хакер надав кілька доказів, включаючи зразок із 10 000 записів клієнтів, відео, яке, здається, демонструє внутрішню зустріч Oracle, і файл, що демонструє доступ до хмарних систем Oracle. Повідомляється, що деякі витоку облікових даних датуються 2024 роком, що суперечить твердженням Oracle, як повідомляє Bloomberg , про те, що уражене середовище не використовувалося більше восьми років.
Дослідник безпеки Кевін Бомонт підозрює, що Oracle використовує розпливчасту термінологію, як-от «Gen 1», щоб приховати правду. Він зазначив, що Oracle Classic, який, ймовірно, підпадає під цей ярлик, все ще є частиною хмарної інфраструктури компанії. Це семантичне обертання, за його словами, дозволяє Oracle технічно заперечувати порушення «Oracle Cloud», навіть якщо дані походять із застарілих хмарних систем.
Бомонт також повідомив, що Oracle не надсилав письмових повідомлень клієнтам; натомість сповіщення, як повідомляється, були лише усними, що ще більше викликає занепокоєння щодо прозорості компанії.
Зловмисне програмне забезпечення, експлойт Java та довгостроковий доступ
CyberAngel посилався на анонімне джерело, яке стверджує, що злом пов’язаний з уразливістю Java 2020, яка дозволяла зловмисникам встановлювати зловмисне програмне забезпечення та веб-оболонку в системах Oracle. Повідомляється, що зловмисне програмне забезпечення було націлено на базу даних Oracle Identity Management, і доступ, можливо, почався ще в січні 2025 року. Oracle нібито стало відомо про проблему наприкінці лютого, приблизно в той час, коли було зроблено вимогу про викуп.
Згідно з цим джерелом, постраждала лише хмарна інфраструктура «Gen 1» — зокрема, сервери в старішому середовищі Oracle Classic — тоді як більш сучасні сервери «Gen 2» залишилися недоторканими. Тим не менш, скомпрометовані дані, як повідомляється, принаймні 16 місяців тому, схоже, пов’язані з реальним виробничим середовищем і реальними обліковими записами клієнтів.
Порушення здоров'я Oracle додає негативних наслідків
Оскільки Oracle продовжує публікувати лише обмежені публічні заяви, також з’явилися повідомлення про окреме порушення системи Oracle Health. Одночасний доступ до даних клієнтів і пацієнтів з різних систем Oracle викликав серйозне занепокоєння у фахівців з кібербезпеки та регуляторів.
Те, як Oracle боролася зі зломом у хмарі — від початкових відмов до обмеженого охоплення клієнтів — викликало критику з боку індустрії безпеки. Поки слідчі з ФБР і CrowdStrike вивчають це питання, багато хто вимагає від Oracle більшої прозорості, щоб допомогти постраждалим організаціям оцінити ризики та вжити необхідних заходів для свого захисту.