Po tygodniach milczenia i zaprzeczeń, Oracle w końcu przyznało niektórym klientom, że system padł ofiarą udanej operacji cyberprzestępczej, która doprowadziła do kradzieży danych z ich środowisk w chmurze publicznej.
Zdarzenie dotyczy usługi Oracle Cloud Classic, a naruszenie bezpieczeństwa miało miejsce mimo wcześniejszych zapewnień firmy, że nie doszło do żadnego ataku. Tymczasem coraz więcej dowodów – w tym publicznie dostępne próbki skradzionych danych – potwierdza, że incydent miał miejsce i dotyczył co najmniej kilku tysięcy organizacji.
To klasyczny przypadek: najpierw zaprzeczenie, potem odwrócenie uwagi, a na końcu cicha korekta sytuacji – bez przeprosin, bez odpowiedzialności – mówi jeden z analityków bezpieczeństwa.
Pierwsze sygnały o możliwym ataku pojawiły się pod koniec marca, kiedy użytkownik o pseudonimie rose87168 opublikował na forum cyberprzestępczym ogłoszenie o sprzedaży około sześciu milionów rekordów wykradzionych z infrastruktury Oracle. Dane miały zawierać prywatne klucze bezpieczeństwa klientów, zaszyfrowane dane uwierzytelniające, a także wpisy LDAP – czyli krytyczne informacje umożliwiające autoryzację w systemach informatycznych. Oracle stanowczo zaprzeczyło wówczas, jakoby doszło do naruszenia.
Eksperci wskazują na niezałataną lukę CVE-2021-35587
Analiza ataku przeprowadzona przez niezależnych specjalistów ds. cyberbezpieczeństwa sugeruje, że cyberprzestępcy prawdopodobnie wykorzystali lukę CVE-2021-35587 w usłudze Oracle Access Manager – składniku pakietu Oracle Fusion Middleware. Co ważne, Oracle nie zastosowało aktualizacji bezpieczeństwa w swoich własnych systemach chmurowych, mimo że łatka była dostępna od dłuższego czasu.
Według ekspertów, błąd ten umożliwił atakującym przejęcie kontroli nad serwerami logowania, co w konsekwencji pozwoliło im na dostęp do ogromnej ilości danych klientów.
Złodziej pozostawił ślad na serwerze Oracle
Aby udowodnić, że atak faktycznie miał miejsce, rose87168 opublikował zrzuty ekranów oraz plik tekstowy pozostawiony na serwerze login.us2.oraclecloud.com – należącym do Oracle – zawierający jego adres e-mail. Był to jednoznaczny dowód na to, że haker uzyskał dostęp administracyjny do serwera i pozostawił po sobie cyfrowy ślad.
CrowdStrike wzywany na pomoc
Dopiero w kwietniu niektórzy klienci Oracle otrzymali prywatne zawiadomienie, że ich dane rzeczywiście zostały naruszone. Firma zaangażowała do współpracy CrowdStrike, znaną firmę zajmującą się reagowaniem na incydenty bezpieczeństwa IT. Przedstawiciele CrowdStrike odmówili komentarza w tej sprawie, odsyłając dziennikarzy do Oracle.
Według źródeł Bloomberga, Oracle miało informować klientów, że włamanie dotyczyło starych serwerów zawierających dane sprzed ośmiu lat. Jednak inni klienci twierdzą, że wśród wykradzionych danych znajdują się także loginy z 2024 roku – co oznacza, że skala incydentu może być znacznie większa.
Ryzyko pozwów i grzywien
Sprawa już teraz przyciąga uwagę FBI, które wszczęło dochodzenie. Równocześnie rozważany jest pozew zbiorowy w Teksasie, gdzie prowadzone jest postępowanie odkrywcze. Zaniepokojenie budzi również możliwe naruszenie unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które zobowiązuje firmy do zgłaszania wycieku danych w ciągu 72 godzin od wykrycia incydentu. Jeśli Oracle nie spełniło tego obowiązku, grozi mu kara w wysokości do 4% globalnych przychodów.
Na dodatek firma może zostać pociągnięta do odpowiedzialności również w Stanach Zjednoczonych, zwłaszcza jeśli okaże się, że w ataku ucierpiały dane z systemu Oracle Health. W takim przypadku Oracle mogłoby zostać ukarane z tytułu ustawy HIPAA, regulującej ochronę danych medycznych.
Pokaż / Dodaj komentarze do: Oracle w końcu się przyznało. Dane klientów zostały skradzione z chmury