Oracle приватно підтверджує клієнтам, що деякі з його хмарних систем були зламані, і, очевидно, намагається применшити вплив інциденту.

Хакер, який використовує онлайн-псевдонім rose87168, нещодавно запропонував продати мільйони рядків даних, імовірно пов’язаних із понад 140 000 клієнтами Oracle Cloud, включаючи зашифровані облікові дані. Спочатку хакер сподівався вимагати від Oracle 20 мільйонів доларів, але пізніше запропонував продати дані будь-кому або обміняти їх на експлойти нульового дня.

Після того, як заяви хакера з’явилися, Oracle категорично заперечила злом Oracle Cloud, заявивши: “Злому Oracle Cloud не було. Опубліковані облікові дані не стосуються Oracle Cloud. Жоден клієнт Oracle Cloud не зазнав злому чи втрати даних”. 

Проте хакер ділився різною інформацією, щоб підтвердити свої твердження, включаючи вибірку з 10 000 записів даних клієнтів, посилання на файл, що демонструє доступ до хмарних систем Oracle, облікові дані користувача та довге відео, яке, здається, було записане під час внутрішньої зустрічі Oracle. 

Декілька охоронних фірм відзначили, що витік інформації про клієнта виглядає справжнім і пов’язаним із виробничим середовищем. SecurityWeek та інші отримали підтвердження від деяких клієнтів Oracle Cloud, що їхні дані були включені в витік. 

SecurityWeek кілька разів запитував заяву від Oracle після того, як стало відомо про інцидент, але компанія не відповіла, крім початкової заяви, категорично заперечуючи порушення. 

Проте зараз є кілька незалежних звітів про те, що Oracle приватно сповіщає постраждалих клієнтів і підтверджує, що відбулося порушення даних. З іншого боку, деталі залишаються туманними, і здається, що є деяка суперечлива інформація.

Bloomberg дізнався від людей, знайомих із цим питанням, що Oracle почала приватно інформувати клієнтів про витік даних, що впливає на імена користувачів, ключі доступу та зашифровані паролі. Повідомляється, що ФБР і CrowdStrike розслідують інцидент. 

Згідно з деякими джерелами Bloomberg, Oracle повідомляє клієнтам, що інцидент пов’язаний із застарілим середовищем, яке не використовувалося вісім років, і скомпрометовані облікові дані становлять невеликий ризик. Інше джерело повідомило виданню, що деякі зі зламаних облікових даних належать до 2024 року. 

Охоронна фірма CyberAngel дізналася з неназваного джерела, що хмарні сервери «1-го покоління» зазнали впливу, а новіші сервери «2-го покоління» – ні, а скомпрометована інформація принаймні 16 місяців тому й не містить повної особистої інформації. 

«Наше джерело, яке ми не називаємо за запитом, повідомляє, що Oracle нібито визначила зловмисника, який був у службі спільної ідентифікації ще в січні 2025 року», — сказав Cyber ​​Angel .

“Цьому виявленню сприяв експлойт Java 2020, і хакер зміг встановити веб-оболонку разом із зловмисним програмним забезпеченням. Зловмисне програмне забезпечення спеціально націлилося на базу даних Oracle IDM і змогло видалити дані. Oracle нібито дізналася про потенційний злом наприкінці лютого та дослідила цю проблему внутрішньо”, – додали в ньому. «За кілька днів Oracle, як повідомляється, змогла видалити актора, коли на початку березня було зроблено першу вимогу про викуп».

Хакер стверджував, що інформація з 2025 року також була скомпрометована. 

Дослідник кібербезпеки Кевін Бомонт, який стежив за цією історією, дізнався від клієнтів хмарних технологій Oracle, що повідомлення від технологічного гіганта були лише усними — письмових повідомлень не було. 

Бомонт вважає , що сервери «1-го покоління» можуть мати на увазі Oracle Classic, назву, дану старим хмарним службам Oracle. Ця «гра слів», як її називає Бомонт, дозволяє Oracle заперечувати, що Oracle Cloud було зламано. 

“Oracle намагається сформулювати твердження щодо Oracle Cloud і використовувати дуже конкретні слова, щоб уникнути відповідальності. Це неправильно. Oracle має чітко, відкрито та публічно повідомити, що сталося, як це вплинуло на клієнтів і що вони з цим роблять”, – сказав дослідник.

Останніми днями також поширювалися повідомлення про, очевидно, не пов’язану з цим витоку даних Oracle Health . За даними Bleeping Computer, у цьому інциденті була скомпрометована інформація пацієнтів із кількох медичних установ США. 

Джерело: https://www.securityweek.com/oracle-confirms-cloud-hack/