Oracle under ild efter kontroversiel reaktion på nyligt hack
Oracle står over for voksende tilbageslag fra cybersikkerhedssamfundet efter dets håndtering af en nylig hackinghændelse, der afslørede brugeroplysninger fra forældede servere. Mens teknologigiganten nu er begyndt at udsende skriftlige meddelelser til berørte kunder, hævder kritikere, at virksomhedens forsinkede og forvirrende svar kun har forværret situationen.
Table of Contents
Fra benægtelse til skadeskontrol
Kontroversen begyndte den 20. marts 2025, da en hacker dukkede op på et velkendt cyberkriminalitetsforum og hævdede at have brudt Oracle Cloud-servere. Angriberen tilbød millioner af poster til salg, angiveligt knyttet til over 140.000 Oracle-lejere, og inklusive krypterede eller hasherede loginoplysninger.
Oracle reagerede hurtigt og udstedte en fast afvisning af, at Oracle Cloud-systemer var blevet kompromitteret. Men da hackeren begyndte at lække prøver af de stjålne data - senere anset for sandsynligt autentiske af cybersikkerhedsforskere - begyndte Oracle-kunder at stå frem for at bekræfte, at deres data var en del af bruddet. Dette er i modstrid med Oracles oprindelige udtalelser og rejste alvorlige spørgsmål om gennemsigtigheden af dets kommunikation.
Efter disse afsløringer skiftede Oracle fra offentlige benægtelser til private afsløringer. Den kontaktede efter sigende kunder mundtligt for at indrømme, at mens nogle systemer blev tilgået, involverede bruddet ikke Oracle Cloud Infrastructure (OCI). Det var først den 7. april – over to uger efter bruddet blev offentliggjort – at Oracle begyndte at udsende formelle skriftlige meddelelser.
Lækkede data knyttet til ældre servere
I sin skriftlige kommunikation insisterede Oracle på, at "intet OCI-kundemiljø er blevet trængt ind", og hævdede, at ingen kundedata eller service var blevet kompromitteret. I stedet afslørede virksomheden, at angriberen fik adgang til brugernavne fra to ældre servere, der ikke længere er i brug og ikke er en del af OCI.
Ifølge Oracle var adgangskoden forbundet med disse brugernavne enten krypteret eller hashed, hvilket gjorde dem ubrugelige. Hackeren bekræftede angiveligt, at de ikke var i stand til at knække de krypterede legitimationsoplysninger.
På trods af disse forsikringer forbliver cybersikkerhedseksperter skeptiske. Sikkerhedsanalytiker Max Solonski kritiserede Oracles nedtoning af situationen og påpegede, at brugernavne i sig selv kan betragtes som kundedata og stadig kan udgøre en risiko. Han bemærkede også, at krypterede adgangskoder, selvom de er mere sikre, stadig kunne knækkes over tid med tilstrækkelig indsats.
Sikkerhedsforsker Kevin Beaumont tilføjede kritikken og betegnede Oracles officielle meddelelse som "et usædvanligt dårligt svar for en virksomhed, der administrerer ekstremt følsomme data." Han har mistanke om, at de brudte systemer var en del af Oracles ældre infrastruktur, kendt som Oracle Classic eller Gen1-servere, hvilket kan have givet virksomheden mulighed for teknisk at nægte et brud på OCI, mens de stadig led et kompromis.
Dvælende spørgsmål og voksende granskning
Mens Oracle fastholder, at de stjålne data var gamle, tyder nogle rapporter på, at oplysningerne kunne være så nye som 2024 eller endda 2025, hvilket stemmer overens med hackerens påstande. Denne uoverensstemmelse giver yderligere anledning til tvivl om fuldstændigheden af Oracles afsløringer og det sande omfang af bruddet.
Der er også ubesvarede spørgsmål om, hvordan bruddet opstod. Tidlige undersøgelser tyder på udnyttelsen af en forældet sårbarhed, hvilket giver anledning til bekymringer om Oracles patch-administration og sikkerheden af dets ældre systemer.
Mens kunder og brancheeksperter afventer flere detaljer, bliver Oracles svar fortsat med skarp kritik. Hændelsen understreger vigtigheden af rettidig, gennemsigtig kommunikation under cybersikkerhedskriser – især for virksomheder, der har fået betroet store mængder følsomme data.
