Oracle a confirmat în cele din urmă, în notificările trimise clienților prin e-mail, că un hacker a furat și a dezvăluit credențialele obținute de pe ceea ce a descris drept „două servere învechite”.
Cu toate acestea, compania a adăugat că serverele sale Oracle Cloud nu au fost compromis, iar acest incident nu a afectat datele și serviciile cloud ale clienților.
„Oracle dorește să declare în mod categoric că Oracle Cloud – cunoscut și sub numele de Oracle Cloud Infrastructure sau OCI – NU a suferit o încălcare a securității”, a declarat Oracle într-o notificare pentru clienți distribuită către BleepingComputer.
„Niciun mediu de client OCI nu a fost penetrat. Niciun date de client OCI nu a fost vizualizat sau furat. Niciun serviciu OCI nu a fost întrerupt sau compromis în vreun fel”, a adăugat în e-mailuri trimise de la [email protected], îndemnând clienții să contacteze Suportul Oracle sau managerul lor de cont dacă au întrebări suplimentare.
„Un hacker a accesat și a publicat numele de utilizator de pe două servere învechite care nu au făcut niciodată parte din OCI. Hackerul nu a expus parole utilizabile deoarece parolele de pe aceste două servere erau fie criptate și/sau hash-uite. Prin urmare, hackerul nu a putut accesa niciun mediu de client sau date de client”, a explicat.
De când incidentul a ieșit la iveală în martie, când un actor de amenințare (rose87168) a pus în vânzare 6 milioane de înregistrări de date pe BreachForums, Oracle a negat constant rapoartele privind o încălcare a Oracle Cloud în declarațiile distribuite presei. În timp ce acest lucru este admisibil adevărat deoarece se potrivește cu ceea ce Oracle spune clienților – că încălcarea a afectat o platformă mai veche, Oracle Cloud Classic – acesta este doar o jucărie de cuvinte, așa cum a spus expertul în securitate cibernetică Kevin Beaumont.
„Oracle a rebotezat vechile servicii Oracle Cloud ca fiind Oracle Classic. Oracle Classic a avut incidentul de securitate”, a spus Beaumont. „Oracle neagă pe „Oracle Cloud” folosind acest domeniu – dar este încă serviciile cloud Oracle pe care Oracle le gestionează. Acesta face parte din jocul de cuvinte”.
BleepingComputer a contactat Oracle pentru a confirma dacă aceste notificări sunt legitime și nu trimise de către actorul de amenințare sau o altă terță parte, dar nu am primit un răspuns. Oracle nu a clarificat încă dacă serverele compromise fac parte din Oracle Cloud Classic sau din altă platformă.
Aceasta vine după ce compania a recunoscut în mod privat în convorbiri cu unii dintre clienții săi acum o săptămână că atacatorii au furat vechile credențiale ale clienților după ce au încălcat un „mediu moștenit” folosit ultima dată în 2017.
Cu toate acestea, deși Oracle le-a spus clienților că acestea sunt date vechi moștenite neesențiale, actorul de amenințare din spatele încălcării a distribuit date către BleepingComputer de la sfârșitul anului 2024 și a postat ulterior înregistrări mai noi din 2025 pe BreachForums.
BleepingComputer a confirmat de asemenea cu mai mulți clienți Oracle că mostrele de date scurse (inclusiv numele asociate LDAP, adresele de e-mail, numele date și alte informații de identificare) primite de la actorul de amenințare erau valabile după ce Oracle a declarat că „Nu a existat nicio încălcare a Oracle Cloud. Credențialele publicate nu sunt pentru Oracle Cloud. Niciun client Oracle Cloud nu a suferit o încălcare sau nu a pierdut date”.
Firma de securitate cibernetică CybelAngel a dezvăluit săptămâna trecută că Oracle le-a spus clienților că un atacator a implementat o carcasă web și malware suplimentar pe unele dintre serverele Gen 1 ale Oracle (cunoscute și sub numele de Oracle Cloud Classic) încă din ianuarie 2025. Până când încălcarea a fost detectată la sfârșitul lunii februarie, actorul de amenințare a furat date din baza de date Oracle Identity Manager (IDM), inclusiv e-mailuri de utilizatori, parole hash-uite și nume de utilizator.
Luna trecută, BleepingComputer a raportat pentru prima dată că Oracle a notificat privat clienții despre o altă încălcare în ianuarie la Oracle Health (o companie software-as-a-service (SaaS) cunoscută anterior sub numele de Cerner), care a afectat datele pacienților din mai multe organizații de sănătate și spitale din Statele Unite.
Sursele au declarat că un actor de amenințare numit „Andrew” – care nu a pretins încă afilierea cu o operațiune de șantaj sau ransomware – extorquează acum spitalele afectate, cerând milioane de dolari în criptomonede pentru a nu vinde sau dezvălui datele furate.
Bazându-se pe o analiză a 14M acțiuni malitioase, descoperiți cele 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri și cum să vă apărați împotriva lor.
Leave a Reply