Oracle informoval niektorých svojich zákazníkov o úspešnom útoku na svoju verejnú cloudovú infraštruktúru, ako aj o krádeži ich dát – napriek tomu, že predtým tvrdil opak.
Špekulácie o kybernetickom útoku na cloudové služby Oracle sa objavili koncom marca, keď používateľ vystupujúci pod prezývkou „rose87168“ tvrdil, že sa nabúral do dvoch prihlasovacích serverov Oracle určených pre zákazníkov. Z nich mal získať k približne šesť miliónov záznamov – vrátane súkromných bezpečnostných kľúčov, zašifrovaných prihlasovacích údajov a LDAP záznamov klientov. Tieto údaje, týkajúce sa tisícok organizácií, následne ponúkol na predaj na kyberkriminálnom fóre.
Oracle, pod vedením Safry Catz, všetky tieto tvrdenia pôvodne kategoricky poprel. Ukázalo sa však, že nepravdivé boli práve ich popretia.
Viacerí odborníci na kybernetickú bezpečnosť analyzovali vzorky uniknutých dát, ktoré „rose87168“ zverejnil ako dôkaz, a dospeli k záveru, že skutočne došlo k narušeniu bezpečnosti produktu Oracle Cloud Classic. Útočník pravdepodobne zneužil nezaplátanú zraniteľnosť označenú CVE-2021-35587 v systéme Oracle Access Manager, ktorý je súčasťou sady Oracle Fusion Middleware. Oracle tak neopravil bezpečnostnú dieru vo svojom vlastnom softvéri na svojich vlastných serveroch – čo pravdepodobne viedlo k úniku dát. Niet divu, že sa k tomu spočiatku nechceli vyjadriť.
Dokonca sa zistilo, že útočník začiatkom marca vytvoril na adrese login.us2.oraclecloud.com textový súbor so svojou e-mailovou adresou – ako dôkaz, že mal do systému prístup.
Dnes už dvaja zákazníci Oracle potvrdili, že ich firma diskrétne kontaktovala a oznámila im, že došlo k úniku ich údajov. Oracle zároveň prizval CrowdStrike, renomovanú spoločnosť z oblasti kybernetickej bezpečnosti, aby pomohla situáciu vyriešiť. CrowdStrike sa odmietla k prípadu vyjadriť a odkázala na Oracle. Uvádza sa, že incident vyšetruje aj FBI.
Podľa informácií od Bloombergu Oracle zákazníkom tvrdil, že útočník kompromitoval starší server, ktorý obsahoval údaje staré osem rokov. Podľa tejto verzie teda išlo o zastarané prihlasovacie údaje.
Iný zákazník však tvrdí, že boli ukradnuté údaje platné ešte v roku 2024, čo spochybňuje tvrdenia Oracle. Celý incident už dokonca vedie k súdnemu sporu v Texase, kde sa môže počas procesu odhalenia dôkazov objaviť množstvo zaujímavých informácií.
Treba tiež podotknúť, že táto hackerská krádež je oddelená od iného incidentu, ktorý sa týka divízie Oracle Health – k tejto udalosti sa Oracle zatiaľ vôbec nevyjadril.
Je otázne, či Oracle včas splnil povinnosti vyplývajúce z európskeho nariadenia GDPR, ktoré prikazuje ohlásiť únik osobných údajov do 72 hodín od jeho zistenia. V prípade porušenia mu hrozí pokuta až do výšky 2 až 4 % celosvetového obratu.
V USA síce neexistuje jednotný federálny zákon o oznamovaní narušenia bezpečnosti, ale väčšina štátov vyžaduje rýchle zverejnenie informácií. Ak sa navyše potvrdí narušenie platforiem Oracle Health, spoločnosti môže hroziť pokuta aj podľa zákona HIPAA, ktorý upravuje ochranu zdravotných údajov.
Oracle môže čeliť aj kolektívnym žalobám, pretože právnici už hľadajú poškodených klientov. Zvláštne je najmä rozhodnutie spoločnosti úplne poprieť akékoľvek narušenie, čo sa ukazuje ako veľmi nešťastná stratégia.
