Oracle onder vuur na controversiële reactie op recente hack
Oracle krijgt te maken met groeiende kritiek vanuit de cybersecuritygemeenschap na de afhandeling van een recent hackincident waarbij gebruikersinformatie van verouderde servers werd blootgelegd. Hoewel de techgigant inmiddels is begonnen met het sturen van schriftelijke meldingen naar getroffen klanten, beweren critici dat de trage en verwarrende reactie van het bedrijf de situatie alleen maar heeft verergerd.
Table of Contents
Van ontkenning naar schadebeperking
De controverse begon op 20 maart 2025, toen een hacker opdook op een bekend cybercrimeforum en beweerde dat hij Oracle Cloud-servers had gehackt. De aanvaller bood miljoenen records te koop aan, naar verluidt gekoppeld aan meer dan 140.000 Oracle-gebruikers, inclusief versleutelde of gehashte inloggegevens.
Oracle reageerde snel en ontkende stellig dat Oracle Cloud-systemen waren gehackt. Toen de hacker echter samples van de gestolen data begon te lekken – die later door cybersecurityonderzoekers als waarschijnlijk authentiek werden beschouwd – begonnen Oracle-klanten zich te melden om te bevestigen dat hun gegevens onderdeel waren van de inbreuk. Dit is in tegenspraak met de oorspronkelijke verklaringen van Oracle en roept serieuze vragen op over de transparantie van de communicatie.
Na deze onthullingen ging Oracle over van openbare ontkenningen naar privé-onthullingen. Het bedrijf zou klanten mondeling hebben benaderd om toe te geven dat, hoewel er toegang was verkregen tot sommige systemen, het lek geen betrekking had op Oracle Cloud Infrastructure (OCI). Pas op 7 april – meer dan twee weken nadat het lek openbaar was gemaakt – begon Oracle met het versturen van formele schriftelijke meldingen.
Gelekte gegevens gekoppeld aan oudere servers
Oracle stelde in haar schriftelijke communicatie dat "er geen OCI-klantomgeving is binnengedrongen" en beweerde dat er geen klantgegevens of -diensten waren gecompromitteerd. In plaats daarvan onthulde het bedrijf dat de aanvaller toegang had gekregen tot gebruikersnamen van twee oudere servers die niet meer in gebruik waren en geen deel uitmaakten van OCI.
Volgens Oracle waren de wachtwoorden die bij die gebruikersnamen hoorden, versleuteld of gehasht, waardoor ze onbruikbaar waren. De hacker zou hebben bevestigd dat hij de versleutelde inloggegevens niet heeft kunnen kraken.
Ondanks deze garanties blijven cybersecurityexperts sceptisch. Beveiligingsanalist Max Solonski bekritiseerde Oracle's bagatellisering van de situatie en wees erop dat gebruikersnamen zelf als klantgegevens kunnen worden beschouwd en nog steeds een risico kunnen vormen. Hij merkte ook op dat versleutelde wachtwoorden, hoewel veiliger, na verloop van tijd met voldoende moeite nog steeds te kraken zijn.
Beveiligingsonderzoeker Kevin Beaumont sloot zich aan bij de kritiek en noemde de officiële melding van Oracle "een uitzonderlijk slechte reactie voor een bedrijf dat extreem gevoelige gegevens beheert". Hij vermoedt dat de getroffen systemen deel uitmaakten van Oracle's oude infrastructuur, bekend als Oracle Classic of Gen1-servers, waardoor het bedrijf technisch gezien een inbreuk op OCI kon ontkennen en toch nog steeds te maken had met een inbreuk.
Blijvende vragen en toenemende kritiek
Hoewel Oracle volhoudt dat de gestolen gegevens oud waren, suggereren sommige rapporten dat de informatie mogelijk zo recent is als 2024 of zelfs 2025, wat overeenkomt met de beweringen van de hacker. Deze discrepantie voedt de twijfels over de volledigheid van Oracle's onthullingen en de werkelijke omvang van het lek.
Er zijn ook onbeantwoorde vragen over hoe de inbreuk tot stand is gekomen. Vroege onderzoeken wijzen op misbruik van een verouderde kwetsbaarheid, wat zorgen oproept over Oracle's patchmanagement en de beveiliging van zijn legacy-systemen.
Terwijl klanten en experts uit de sector op meer details wachten, blijft de reactie van Oracle scherpe kritiek opleveren. Het incident onderstreept het belang van tijdige en transparante communicatie tijdens cybersecuritycrises, met name voor bedrijven die grote hoeveelheden gevoelige gegevens beheren.
