Az Oracle tűz alá került a legutóbbi feltörésre adott vitatott válasz után
Az Oracle-nek a kiberbiztonsági közösség egyre nagyobb visszahatása néz szembe egy nemrégiben történt hackelési incidens kezelését követően, amely az elavult szerverekről származó felhasználói információkat fedte fel. Míg a technológiai óriás most elkezdett írásos értesítéseket küldeni az érintett ügyfeleknek, a kritikusok azzal érvelnek, hogy a vállalat késedelmes és zavaros válasza csak rontott a helyzeten.
Table of Contents
A tagadástól a kárkezelésig
A vita 2025. március 20-án kezdődött, amikor egy hacker felbukkant egy jól ismert kiberbűnözési fórumon, azt állítva, hogy feltörte az Oracle Cloud szervereit. A támadó rekordok millióit ajánlotta eladásra, amelyek állítólag több mint 140 000 Oracle-bérlőhöz kapcsolódnak, beleértve a titkosított vagy kivonatolt bejelentkezési adatokat.
Az Oracle gyorsan reagált, és határozottan cáfolta, hogy az Oracle Cloud rendszereket feltörték. Amikor azonban a hacker elkezdett mintákat szivárogtatni az ellopott adatokból – amelyeket később a kiberbiztonsági kutatók valószínűleg hitelesnek ítéltek – az Oracle ügyfelei elkezdtek jelentkezni, hogy megerősítsék, adataik részei a jogsértés. Ez ellentmond az Oracle eredeti kijelentéseinek, és komoly kérdéseket vetett fel kommunikációjának átláthatóságával kapcsolatban.
E felfedések nyomán az Oracle a nyilvános megtagadásokról a privát közzétételekre tért át. Állítólag szóban felvette a kapcsolatot az ügyfelekkel, és elismerte, hogy bár néhány rendszerhez hozzáfértek, a jogsértés nem érintette az Oracle Cloud Infrastructure-t (OCI). Az Oracle csak április 7-én – több mint két héttel a jogsértés nyilvánosságra hozatala után – kezdett el hivatalos írásbeli értesítéseket kiadni.
Kiszivárgott adatok örökölt szerverekhez kötve
Írásbeli közleményeiben az Oracle ragaszkodott ahhoz, hogy „nem hatoltak be az OCI ügyfélkörnyezetébe”, és azt állította, hogy az ügyfelek adatait vagy szolgáltatásait nem veszélyeztették. Ehelyett a vállalat felfedte, hogy a támadó két olyan régebbi szerverről férhetett hozzá a felhasználónevekhez, amelyek már nem használatosak, és nem részei az OCI-nak.
Az Oracle szerint az ezekhez a felhasználónevekhez társított jelszavakat vagy titkosították, vagy kivonatozták, ami használhatatlanná tette őket. A hacker állítólag megerősítette, hogy nem tudták feltörni a titkosított hitelesítő adatokat.
E biztosítékok ellenére a kiberbiztonsági szakértők továbbra is szkeptikusak. Max Solonski biztonsági elemző bírálta, hogy az Oracle lekicsinyli a helyzetet, rámutatva, hogy maguk a felhasználónevek is ügyféladatoknak tekinthetők, és továbbra is kockázatot jelenthetnek. Azt is megjegyezte, hogy a titkosított jelszavak, bár biztonságosabbak, idővel mégis elegendő erőfeszítéssel feltörhetők.
Kevin Beaumont biztonsági kutató kiegészítette a kritikát, és az Oracle hivatalos értesítését „kivételesen rossz válasznak minősítette egy olyan cég számára, amely rendkívül érzékeny adatokat kezel”. Azt gyanítja, hogy a feltört rendszerek az Oracle régi, Oracle Classic vagy Gen1 szerverekként ismert infrastruktúrájának részét képezték, ami lehetővé tette a vállalat számára, hogy technikailag tagadja az OCI megsértését, miközben továbbra is kompromisszumot szenvedett.
Hosszan tartó kérdések és növekvő ellenőrzés
Míg az Oracle fenntartja, hogy az ellopott adatok régiek voltak, egyes jelentések azt sugallják, hogy az információ akár 2024-ben vagy akár 2025-ben is friss lehet, ami összhangban van a hacker állításaival. Ez az eltérés tovább szít kételyeket az Oracle által közzétett információk teljességével és a jogsértés valódi mértékével kapcsolatban.
Vannak megválaszolatlan kérdések is, hogy hogyan történt a jogsértés. A korai vizsgálatok egy elavult sebezhetőség kihasználására utalnak, ami aggályokat vet fel az Oracle javításkezelésével és a régi rendszereinek biztonságával kapcsolatban.
Miközben az ügyfelek és az iparági szakértők további részletekre várnak, az Oracle válasza továbbra is éles kritikát vált ki. Az incidens rávilágít az időben történő, átlátható kommunikáció fontosságára a kiberbiztonsági válságok idején – különösen a nagy mennyiségű érzékeny adattal megbízott vállalatok esetében.
