Jak strzelić sobie w stopę, czyli reakcja Oracle na włamanie

Krótko przypomnijmy. 20 marca na dark forum pewien haker ogłosił, że włamał się na serwery Oracle Cloud. Jednocześnie zaoferował miliony rekordów rzekomo powiązanych z ponad 140 tysiącami najemców, w tym zaszyfrowane dane uwierzytelniające.

Oracle natychmiast kategorycznie zaprzeczyło, by doszło do naruszenia bezpieczeństwa systemów Oracle Cloud. Firma dała tym samym odczuć swoim klientom, że ucina wszelkie pogłoski o włamaniu.

Haker zaczął jednak ujawniać skradzione informacje, które firmy zajmujące się bezpieczeństwem oceniły jako prawdopodobnie autentyczne, a niektórzy klienci Oracle potwierdzili, że ich dane znalazły się w wycieku.

W miarę pojawiania się kolejnych dowodów naruszenia bezpieczeństwa danych w systemach Oracle, firma zaczęła prywatnie informować klientów – podobno za pośrednictwem ustnych powiadomień – że niektóre systemy zostały rzeczywiście naruszone, ale z podkreśleniem, że nie były to systemy Oracle Cloud. Informujemy o tym za SecurityWeek.

7 kwietnia, ponad dwa tygodnie po ujawnieniu włamania, Oracle zaczęło wysyłać pisemne powiadomienia do klientów, powtarzając, że Oracle Cloud Infrastructure (OCI) „NIE doświadczyło naruszenia bezpieczeństwa”.

„Żadne środowisko klienta OCI nie zostało naruszone. Żadne dane klienta OCI nie zostały wyświetlone ani skradzione. Żadna usługa OCI nie została przerwana ani w żaden sposób naruszona”, czytamy w e-mailu z powiadomieniem, uzyskanym przez eksperta ds. bezpieczeństwa Maxa Solonskiego (publicysty zgłębiającego powiązania technologii, bezpieczeństwa i prywatności danych).

Czyli jednak. W pokrętny sposób Oracle potwierdziło, że „haker uzyskał dostęp i opublikował nazwy użytkowników z dwóch przestarzałych serwerów, które nigdy nie były częścią OCI”.

„Haker nie ujawnił użytecznych haseł, ponieważ hasła na tych dwóch serwerach były zaszyfrowane, zatem nie był w stanie uzyskać dostępu do żadnych środowisk klientów ani danych klientów” – twierdzi Oracle.

Warto zauważyć, że powyższe informacje potwierdził sam haker – przyznał, że nie był w stanie złamać zaszyfrowanych haseł.

Solonski i inni skrytykowali Oracle za reakcję na incydent. Solonski zauważył, że ktoś może nadal złamać hasła. Ponadto nawet jeśli haker uzyskałby tylko nazwy użytkowników, można je uznać za dane klientów.

Badacz ds. bezpieczeństwa Kevin Beaumont, który monitorował tę sytuację, również skrytykował Oracle, opisując powiadomienie jako „wyjątkowo słabą odpowiedź jak na firmę, która zarządza niezwykle poufnymi danymi”.

Beaumont uważa, że haker mógł obrać za cel serwery powiązane z Oracle Classic (nazywane również serwerami Gen1), co jest nazwą używaną dla starszych usług w chmurze. Pozwala to Oracle kategorycznie zaprzeczyć naruszeniu OCI.

Kilka innych pytań pozostaje bez odpowiedzi, w tym to na temat metody użytej do złamania systemów Oracle i okresu, z którego dane pochodziły. Według niektórych raportów systemy Oracle zostały naruszone poprzez wykorzystanie starej luki w zabezpieczeniach. Jeśli chodzi o wiek danych, Oracle podobno poinformował klientów, że są stare, ale niektóre raporty wskazywały, że pochodzą z 2024 r., a haker twierdził, że uzyskał dane z 2025 r.