Oracle pod ostrzałem po kontrowersyjnej odpowiedzi na ostatnie włamanie
Oracle mierzy się z rosnącą reakcją społeczności cyberbezpieczeństwa po tym, jak poradził sobie z niedawnym incydentem hakerskim, który ujawnił informacje użytkowników z przestarzałych serwerów. Podczas gdy gigant technologiczny zaczął już wysyłać pisemne powiadomienia dotkniętym problemem klientom, krytycy twierdzą, że opóźniona i myląca odpowiedź firmy tylko pogorszyła sytuację.
Table of Contents
Od zaprzeczenia do kontroli szkód
Kontrowersje rozpoczęły się 20 marca 2025 r., kiedy haker pojawił się na znanym forum cyberprzestępczości, twierdząc, że włamał się do serwerów Oracle Cloud. Atakujący zaoferował na sprzedaż miliony rekordów, rzekomo powiązanych z ponad 140 000 najemcami Oracle, w tym zaszyfrowane lub haszowane dane logowania.
Oracle zareagowało szybko, stanowczo zaprzeczając, że systemy Oracle Cloud zostały naruszone. Jednak gdy haker zaczął ujawniać próbki skradzionych danych — później uznanych za prawdopodobnie autentyczne przez badaczy cyberbezpieczeństwa — klienci Oracle zaczęli się zgłaszać, aby potwierdzić, że ich dane były częścią naruszenia. Jest to sprzeczne z pierwotnymi oświadczeniami Oracle i budzi poważne wątpliwości co do przejrzystości komunikacji.
Po tych rewelacjach Oracle przeszło od publicznych zaprzeczeń do prywatnych ujawnień. Podobno kontaktowało się z klientami ustnie, aby przyznać, że chociaż uzyskano dostęp do niektórych systemów, naruszenie nie dotyczyło Oracle Cloud Infrastructure (OCI). Dopiero 7 kwietnia — ponad dwa tygodnie po ujawnieniu naruszenia — Oracle zaczęło wydawać formalne pisemne powiadomienia.
Wyciekłe dane powiązane ze starszymi serwerami
W swoich pisemnych komunikatach Oracle upierało się, że „żadne środowisko klienta OCI nie zostało naruszone” i twierdziło, że żadne dane ani usługi klienta nie zostały naruszone. Zamiast tego firma ujawniła, że atakujący uzyskał dostęp do nazw użytkowników z dwóch starszych serwerów, które nie są już używane i nie są częścią OCI.
Według Oracle hasła powiązane z tymi nazwami użytkowników były albo zaszyfrowane, albo zahaszowane, co czyniło je bezużytecznymi. Hakerzy podobno potwierdzili, że nie byli w stanie złamać zaszyfrowanych danych uwierzytelniających.
Mimo tych zapewnień eksperci ds. cyberbezpieczeństwa pozostają sceptyczni. Analityk ds. bezpieczeństwa Max Solonski skrytykował Oracle za bagatelizowanie sytuacji, wskazując, że same nazwy użytkowników mogą być uważane za dane klientów i nadal mogą stanowić ryzyko. Zauważył również, że zaszyfrowane hasła, choć bezpieczniejsze, nadal można złamać z czasem, wkładając w to wystarczająco dużo wysiłku.
Badacz ds. bezpieczeństwa Kevin Beaumont dodał do krytyki, określając oficjalne powiadomienie Oracle jako „wyjątkowo słabą odpowiedź dla firmy, która zarządza niezwykle wrażliwymi danymi”. Podejrzewa, że naruszone systemy były częścią starszej infrastruktury Oracle, znanej jako serwery Oracle Classic lub Gen1, co mogło pozwolić firmie technicznie zaprzeczyć naruszeniu OCI, jednocześnie ponosząc ryzyko.
Pozostające pytania i rosnąca kontrola
Podczas gdy Oracle utrzymuje, że skradzione dane były stare, niektóre raporty sugerują, że informacje mogą pochodzić nawet z 2024 r. lub nawet 2025 r., co jest zgodne z twierdzeniami hakera. Ta rozbieżność dodatkowo podsyca wątpliwości co do kompletności ujawnień Oracle i rzeczywistego rozmiaru naruszenia.
Pozostają również bez odpowiedzi pytania o to, jak doszło do naruszenia. Wczesne dochodzenia wskazują na wykorzystanie przestarzałej luki, co budzi obawy dotyczące zarządzania poprawkami Oracle i bezpieczeństwa jego starszych systemów.
Podczas gdy klienci i eksperci branżowi czekają na więcej szczegółów, odpowiedź Oracle nadal spotyka się z ostrą krytyką. Incydent ten podkreśla znaczenie terminowej, przejrzystej komunikacji podczas kryzysów cyberbezpieczeństwa — szczególnie w przypadku firm, którym powierzono duże ilości poufnych danych.
