Oracle sotto accusa dopo la controversa risposta al recente attacco informatico
Oracle sta affrontando crescenti critiche da parte della comunità della sicurezza informatica a seguito della sua gestione di un recente attacco informatico che ha reso pubbliche le informazioni degli utenti provenienti da server obsoleti. Sebbene il colosso della tecnologia abbia iniziato a inviare notifiche scritte ai clienti interessati, i critici sostengono che la risposta tardiva e confusa dell'azienda non abbia fatto altro che peggiorare la situazione.
Table of Contents
Dalla negazione al controllo dei danni
La controversia è iniziata il 20 marzo 2025, quando un hacker è comparso su un noto forum dedicato alla criminalità informatica, affermando di aver violato i server Oracle Cloud. L'aggressore ha offerto in vendita milioni di record, presumibilmente collegati a oltre 140.000 tenant Oracle, contenenti credenziali di accesso crittografate o con hash.
Oracle ha reagito rapidamente, negando fermamente che i sistemi Oracle Cloud fossero stati compromessi. Tuttavia, quando l'hacker ha iniziato a diffondere campioni dei dati rubati – in seguito ritenuti probabilmente autentici dagli esperti di sicurezza informatica – i clienti Oracle hanno iniziato a farsi avanti per confermare che i loro dati fossero parte della violazione. Ciò contraddice le dichiarazioni originali di Oracle e solleva seri dubbi sulla trasparenza delle sue comunicazioni.
In seguito a queste rivelazioni, Oracle è passata dalle smentite pubbliche alle rivelazioni private. A quanto pare, ha contattato verbalmente i clienti per ammettere che, sebbene alcuni sistemi fossero stati violati, la violazione non aveva coinvolto Oracle Cloud Infrastructure (OCI). Solo il 7 aprile, oltre due settimane dopo la pubblicazione della violazione, Oracle ha iniziato a inviare notifiche scritte formali.
Dati trapelati collegati a server legacy
Nelle sue comunicazioni scritte, Oracle ha insistito sul fatto che "nessun ambiente OCI dei clienti è stato violato" e ha affermato che nessun dato o servizio dei clienti è stato compromesso. L'azienda ha invece rivelato che l'aggressore ha avuto accesso a nomi utente da due server legacy non più in uso e non facenti parte di OCI.
Secondo Oracle, le password associate a quei nomi utente erano crittografate o sottoposte a hashing, rendendole inutilizzabili. L'hacker avrebbe confermato di non essere riuscito a decifrare le credenziali crittografate.
Nonostante queste rassicurazioni, gli esperti di sicurezza informatica rimangono scettici. L'analista di sicurezza Max Solonski ha criticato la minimizzazione della situazione da parte di Oracle, sottolineando che i nomi utente stessi possono essere considerati dati dei clienti e potrebbero comunque rappresentare un rischio. Ha anche osservato che le password crittografate, sebbene più sicure, potrebbero comunque essere violate nel tempo con un certo impegno.
Il ricercatore di sicurezza Kevin Beaumont ha aggiunto alle critiche, definendo la notifica ufficiale di Oracle come "una risposta eccezionalmente inadeguata per un'azienda che gestisce dati estremamente sensibili". Sospetta che i sistemi violati facessero parte dell'infrastruttura legacy di Oracle, nota come server Oracle Classic o Gen1, il che potrebbe aver permesso all'azienda di negare tecnicamente una violazione di OCI, pur subendone comunque la compromissione.
Domande persistenti e crescente controllo
Sebbene Oracle sostenga che i dati rubati fossero datati, alcuni report suggeriscono che le informazioni potrebbero risalire addirittura al 2024 o addirittura al 2025, in linea con le affermazioni dell'hacker. Questa discrepanza alimenta ulteriormente i dubbi sulla completezza delle informazioni fornite da Oracle e sulla reale portata della violazione.
Restano inoltre irrisolte le questioni relative alle modalità della violazione. Le prime indagini suggeriscono lo sfruttamento di una vulnerabilità obsoleta, sollevando preoccupazioni sulla gestione delle patch di Oracle e sulla sicurezza dei suoi sistemi legacy.
Mentre clienti ed esperti del settore attendono maggiori dettagli, la risposta di Oracle continua a suscitare aspre critiche. L'incidente evidenzia l'importanza di una comunicazione tempestiva e trasparente durante le crisi di sicurezza informatica, soprattutto per le aziende che gestiscono grandi volumi di dati sensibili.
