Oracle xác nhận vi phạm đám mây sau lần phủ nhận ban đầu — Các tuyên bố của tin tặc, dữ liệu bị rò rỉ và cảnh báo im lặng khiến mọi người nghi ngờ

Trong một diễn biến làm dấy lên những câu hỏi nghiêm trọng về tính minh bạch và bảo mật đám mây, Oracle được cho là đã phải chịu một vụ vi phạm dữ liệu đáng kể liên quan đến cơ sở hạ tầng đám mây của mình — mặc dù trước đó đã có những tuyên bố phủ nhận bất kỳ sự cố nào như vậy. Gã khổng lồ công nghệ này đã bắt đầu âm thầm cảnh báo những khách hàng bị ảnh hưởng, nhưng vẫn tiếp tục hạ thấp phạm vi và mức độ nghiêm trọng của cuộc tấn công.

Vụ vi phạm đầu tiên được phát hiện khi một tin tặc sử dụng bí danh rose87168 bắt đầu rò rỉ những gì chúng tuyên bố là dữ liệu nhạy cảm từ Oracle Cloud, ảnh hưởng đến hơn 140.000 người thuê. Dữ liệu này được cho là bao gồm thông tin đăng nhập được mã hóa, tên người dùng và các thông tin quan trọng khác của khách hàng. Kẻ tấn công ban đầu yêu cầu Oracle trả 20 triệu đô la tiền chuộc, nhưng sau khi không nhận được khoản thanh toán nào, kẻ tấn công bắt đầu rao bán hoặc trao đổi dữ liệu bị đánh cắp để đổi lấy các lỗ hổng zero-day.

Bất chấp những cáo buộc này, phản ứng ban đầu của Oracle là dứt khoát: “Không có vi phạm nào đối với Oracle Cloud. Các thông tin đăng nhập được công bố không dành cho Oracle Cloud. Không có khách hàng nào của Oracle Cloud gặp phải vi phạm hoặc mất bất kỳ dữ liệu nào”. Tuy nhiên, tuyên bố đó hiện đang bị thách thức bởi các bằng chứng ngày càng tăng và xác nhận độc lập từ các chuyên gia bảo mật cũng như khách hàng.

Bằng chứng của tin tặc mâu thuẫn với lời phủ nhận của Oracle

Theo SecurityWeek , tin tặc đã cung cấp nhiều bằng chứng, bao gồm một mẫu gồm 10.000 hồ sơ khách hàng, một video dường như cho thấy một cuộc họp nội bộ của Oracle và một tệp chứng minh quyền truy cập vào các hệ thống đám mây của Oracle. Một số thông tin đăng nhập bị rò rỉ được cho là từ năm 2024, trái ngược với tuyên bố của Oracle — theo Bloomberg đưa tin — rằng môi trường bị ảnh hưởng đã không được sử dụng trong hơn tám năm.

Nhà nghiên cứu bảo mật Kevin Beaumont nghi ngờ Oracle đang sử dụng thuật ngữ mơ hồ như “Gen 1” để che giấu sự thật. Ông chỉ ra rằng Oracle Classic, có khả năng nằm trong nhãn đó, vẫn là một phần của cơ sở hạ tầng đám mây của công ty. Ông cho biết, sự thay đổi ngữ nghĩa này cho phép Oracle về mặt kỹ thuật phủ nhận vi phạm “Oracle Cloud”, ngay cả khi dữ liệu có nguồn gốc từ các hệ thống đám mây cũ.

Beaumont cũng tiết lộ rằng Oracle không gửi thông báo bằng văn bản cho khách hàng; thay vào đó, các cảnh báo chỉ được đưa ra bằng lời nói - điều này càng làm dấy lên mối lo ngại về tính minh bạch của công ty.

Phần mềm độc hại, Java Exploit và Truy cập dài hạn

CyberAngel trích dẫn một nguồn tin ẩn danh cho biết vụ vi phạm bắt nguồn từ lỗ hổng Java năm 2020 cho phép kẻ tấn công cài đặt phần mềm độc hại và web shell trên hệ thống Oracle. Phần mềm độc hại được cho là nhắm vào cơ sở dữ liệu Identity Management của Oracle và việc truy cập có thể đã bắt đầu từ tháng 1 năm 2025. Oracle được cho là đã biết về vấn đề này vào cuối tháng 2, vào khoảng thời gian yêu cầu tiền chuộc được đưa ra.

Theo nguồn tin này, chỉ có cơ sở hạ tầng đám mây “Gen 1” bị ảnh hưởng — cụ thể là các máy chủ trong môi trường Oracle Classic cũ hơn — trong khi các máy chủ “Gen 2” hiện đại hơn không bị ảnh hưởng. Tuy nhiên, dữ liệu bị xâm phạm, mặc dù được báo cáo là đã ít nhất 16 tháng tuổi, dường như được liên kết với các môi trường sản xuất thực tế và tài khoản khách hàng thực tế.

Vi phạm Oracle Health làm tăng thêm sự sụp đổ

Khi Oracle tiếp tục chỉ đưa ra các tuyên bố công khai hạn chế, các báo cáo về một vi phạm riêng biệt liên quan đến hệ thống Oracle Health cũng đã xuất hiện. Việc đồng thời tiết lộ dữ liệu khách hàng và bệnh nhân từ các hệ thống Oracle khác nhau đã gây ra mối quan ngại nghiêm trọng từ các chuyên gia an ninh mạng và các cơ quan quản lý.

Việc Oracle xử lý vụ vi phạm đám mây — từ những lần phủ nhận ban đầu đến việc tiếp cận khách hàng hạn chế — đã gây ra sự chỉ trích từ khắp ngành bảo mật. Khi các nhà điều tra từ FBI và CrowdStrike xem xét vấn đề này, nhiều người đang kêu gọi Oracle minh bạch hơn để giúp các tổ chức bị ảnh hưởng đánh giá rủi ro và thực hiện các bước cần thiết để tự bảo vệ mình.