Oracle потвърждава в частен порядък пред клиентите си, че някои от нейните системи за облачни услуги са били пробити, и очевидно се опитва да омаловажи въздействието на инцидента.
Хакер, който използва онлайн псевдонима „rose87168“, наскоро предложи да продаде милиони редове данни, за които се твърди, че са свързани с над 140 000 наематели на Oracle Cloud, включително криптирани идентификационни данни. Първоначално хакерът се е надявал да изнуди Oracle да му плати 20 млн. долара, но по-късно е предложил да продаде данните на всеки или да ги размени за експлойти от типа „нулев ден“.
След като твърденията на хакера излязоха наяве, Oracle категорично отрече да има хакване на Oracle Cloud, като заяви: „Не е имало пробив в Oracle Cloud. Публикуваните идентификационни данни не са за Oracle Cloud. Никой от клиентите на Oracle Cloud не е имал пробив или загуба на данни.“
Въпреки това хакерът споделя различни видове информация, за да докаже твърденията си, включително извадка от 10 000 записа на данни на клиенти, връзка към файл, демонстриращ достъп до облачните системи на Oracle, потребителски пълномощия и дълъг видеоклип, който изглежда е записан по време на вътрешна среща на Oracle.
Няколко фирми за сигурност изтъкнаха, че изтеклата информация за клиенти изглежда истинска и свързана с производствена среда. Някои медии са получили потвърждение от някои клиенти на Oracle Cloud, че техните данни са били включени в изтичането.
Откакто инцидентът излезе наяве, Oracle, но компанията не е отговорила на запитванията на медиите освен първоначалното изявление, в което категорично отрича нарушението.
Въпреки това вече има няколко независими доклада за частно уведомяване на засегнатите клиенти от страна на Oracle и потвърждение, че е имало нарушение на сигурността на данните. От друга страна, подробностите остават неясни и изглежда, че има противоречива информация.
Bloomberg научи от хора, запознати с въпроса, че Oracle е започнала частно да информира клиентите си за нарушение на сигурността на данните, което засяга потребителски имена, ключове и криптирани пароли. Съобщава се, че ФБР и CrowdStrike разследват инцидента.
Според някои от източниците на Bloomberg Oracle съобщава на клиентите, че инцидентът е свързан с наследена среда, която не се използва от осем години, и компрометираните идентификационни данни представляват малък риск. Друг източник е заявил пред изданието, че някои от компрометираните пълномощия са от 2024 г.
Фирмата за сигурност CyberAngel е научила от неназован източник, че са били засегнати облачни сървъри „Gen 1“ – по-новите сървъри „Gen 2“ не са били засегнати – а компрометираната информация е поне от 16 месеца и не включва пълни лични данни.
„Нашият източник, чието име не посочваме, тъй като е поискано, съобщава, че Oracle уж е установила нападател, който е бил в услугата за споделена идентичност още през януари 2025 г.“, заяви Cyber Angel.
„Това излагане на риск е било улеснено чрез експлойт на Java през 2020 г. и хакерът е успял да инсталира webshell заедно със зловреден софтуер. Зловредният софтуер е бил насочен конкретно към базата данни Oracle IDM и е успял да ексфилтрира данни. Твърди се, че Oracle е разбрала за потенциалното нарушение в края на февруари и е разследвала този проблем вътрешно“, добави тя. „В рамките на няколко дни Oracle уж е успяла да отстрани хакера, когато в началото на март е било направено първото искане за откуп.“
Хакерът твърди, че информацията от 2025 г. също е била компрометирана.
Изследователят в областта на киберсигурността Кевин Бомонт, който следи историята, е научил от клиенти на Oracle cloud, че уведомленията от страна на технологичния гигант са били само устни – няма писмени известия.
Бомонт смята, че сървърите „Gen 1“ може да се отнасят до Oracle Classic – името, дадено на старите облачни услуги на Oracle. Тази „игра на думи“, както я нарича Бомонт, позволява на Oracle да отрече, че Oracle Cloud е бил нарушен.
„Oracle се опитват да играят с думи в изявленията около Oracle Cloud и използват много специфични думи, за да избегнат отговорност. Това не е нормално. Oracle трябва ясно, открито и публично да съобщи какво се е случило, как то влияе на клиентите и какво прави по въпроса“, казва изследователят.
През последните дни бяха разпространени и съобщения за очевидно несвързан с Oracle Health пробив в данните. Според Bleeping Computer при този инцидент е била компрометирана информацията на пациенти от множество здравни организации в САЩ.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
