Oracle privatno potvrđuje svojim klijentima da su neki od njegovih cloud sistema kompromitovani, dok istovremeno pokušava da umanji ozbiljnost incidenta.
Haker koji koristi pseudonim „rose87168“ nedavno je ponudio na prodaju milione redova podataka za koje tvrdi da potiču od više od 140.000 Oracle Cloud klijenata, uključujući i šifrovane akreditive. Haker je u početku pokušao da iznudi 20 miliona dolara od Oracle-a, ali je kasnije podatke ponudio bilo kome na prodaju, ili u zamjenu za tzv. zero-day ranjivosti.
Nakon što su ove tvrdnje postale javne, Oracle je kategorički negirao bilo kakvo hakovanje Oracle Cloud sistema, izjavivši: „Nije došlo do kompromitovanja Oracle Cloud-a. Objavljeni akrediti nisu vezani za Oracle Cloud. Niti jedan Oracle Cloud klijent nije pretrpio bezbjednosni incident niti izgubio podatke.“
Međutim, haker je počeo da dijeli različite vrste informacija kako bi dokazao svoje tvrdnje, uključujući uzorak sa 10.000 zapisa o klijentima, link ka fajlu koji pokazuje pristup Oracle cloud sistemima, korisnička imena i šifre, kao i dug video snimak koji izgleda kao da je nastao tokom internog sastanka u Oracle-u.
Više bezbjednosnih firmi ističe da procureli podaci djeluju autentično i da su povezani sa aktivnim produkcionim okruženjem. SecurityWeek i drugi mediji dobili su potvrdu od pojedinih Oracle Cloud klijenata da su njihovi podaci zaista uključeni u procurele informacije.
Ipak, sada postoje brojni nezavisni izvještaji da Oracle privatno obavještava pogođene klijente i potvrđuje da je došlo do bezbjednosnog incidenta. S druge strane, detalji su i dalje nejasni, a pojavljuju se i kontradiktorne informacije.
Prema informacijama do kojih je došao Bloomberg od osoba upoznatih sa situacijom, Oracle je počeo privatno obavještavati korisnike da je došlo do bezbjednosnog incidenta koji je uticao na korisnička imena, pristupne ključeve i šifrovane lozinke. FBI i kompanija CrowdStrike navodno istražuju ovaj slučaj.
Neki izvori Bloomberga tvrde da Oracle objašnjava incident kao vezan za zastarjelo okruženje koje se ne koristi već osam godina, te da kompromitovani akrediti ne predstavljaju značajan rizik. Međutim, drugi izvor navodi da su neki od kompromitovanih podataka iz 2024. godine.
Bezbjednosna firma CyberAngel je od neimenovanog izvora saznala da su pogođeni tzv. „Gen 1“ cloud serveri – dok noviji „Gen 2“ serveri nijesu bili zahvaćeni – te da su kompromitovane informacije stare najmanje 16 mjeseci i ne uključuju potpune lične podatke.
„Naš izvor, čiji identitet ne otkrivamo na njegov zahtjev, navodi da je Oracle navodno utvrdio da se napadač nalazio u dijeljenom servisu za identitet još od januara 2025. godine“, saopštili su iz CyberAngela.
„Ovo izlaganje bilo je omogućeno putem Java ranjivosti iz 2020. godine, nakon čega je haker uspio da instalira webshell i maliciozni softver. Taj softver je bio ciljan ka Oracle IDM bazi podataka i omogućio je eksfiltraciju podataka. Oracle je navodno krajem februara primijetio moguće kompromitovanje i pokrenuo internu istragu“, dodaju. „U roku od nekoliko dana, Oracle je navodno uklonio napadača kada je početkom marta stigao prvi zahtjev za otkup.“
Haker tvrdi da su kompromitovani i podaci iz 2025. godine.
Istraživač iz oblasti sajber bezbjednosti, Kevin Beaumont, koji prati ovaj slučaj, saznao je od Oracle cloud korisnika da su obavještenja kompanije bila isključivo usmena – bez pisanih obavještenja.
Beaumont smatra da se pod „Gen 1“ serverima možda misli na Oracle Classic, naziv za starije Oracle Cloud usluge. Ova „igra riječima“, kako je on naziva, omogućava Oracle-u da tvrdi kako nije došlo do kompromitovanja Oracle Cloud-a.
„Oracle pokušava da vješto sastavi izjave oko Oracle Cloud-a koristeći vrlo precizne izraze kako bi izbjegli odgovornost. To nije u redu. Oracle mora jasno, otvoreno i javno saopštiti šta se desilo, kako to utiče na korisnike i koje korake preduzimaju“, poručuje Beaumont.
Izvještaji o naizgled nepovezanom incidentu sa Oracle Health sistemima takođe su se pojavili posljednjih dana. Prema navodima Bleeping Computer-a, kompromitovani su podaci pacijenata iz više zdravstvenih ustanova u SAD-u.
Izvor: SecurityWeek