Oracle под огнем критики после противоречивой реакции на недавний взлом
Oracle сталкивается с растущей негативной реакцией со стороны сообщества кибербезопасности после того, как она справилась с недавним инцидентом взлома, в результате которого была раскрыта информация пользователей с устаревших серверов. Хотя технологический гигант уже начал рассылать письменные уведомления пострадавшим клиентам, критики утверждают, что запоздалый и запутанный ответ компании только ухудшил ситуацию.
Table of Contents
От отрицания к контролю ущерба
Скандал начался 20 марта 2025 года, когда на известном форуме киберпреступности появился хакер, заявивший, что взломал серверы Oracle Cloud. Злоумышленник предложил на продажу миллионы записей, предположительно связанных с более чем 140 000 арендаторов Oracle, включая зашифрованные или хэшированные учетные данные для входа.
Oracle отреагировала быстро, решительно отрицая, что системы Oracle Cloud были скомпрометированы. Однако, когда хакер начал сливать образцы украденных данных — позже исследователи кибербезопасности сочли их, вероятно, подлинными — клиенты Oracle начали выступать с подтверждением того, что их данные были частью взлома. Это противоречит первоначальным заявлениям Oracle и вызывает серьезные вопросы о прозрачности ее коммуникации.
После этих разоблачений Oracle перешла от публичных отрицаний к частным раскрытиям. Сообщается, что компания связалась с клиентами устно, чтобы признать, что, хотя некоторые системы были взломаны, нарушение не касалось Oracle Cloud Infrastructure (OCI). Только 7 апреля — более чем через две недели после того, как нарушение было обнародовано — Oracle начала выпускать официальные письменные уведомления.
Утечка данных, связанных с устаревшими серверами
В своих письменных сообщениях Oracle настаивала на том, что «никакая клиентская среда OCI не была взломана», и утверждала, что никакие клиентские данные или сервисы не были скомпрометированы. Вместо этого компания сообщила, что злоумышленник получил доступ к именам пользователей с двух устаревших серверов, которые больше не используются и не являются частью OCI.
По данным Oracle, пароли, связанные с этими именами пользователей, были либо зашифрованы, либо хэшированы, что сделало их непригодными для использования. Хакер, как сообщается, подтвердил, что он не смог взломать зашифрованные учетные данные.
Несмотря на эти заверения, эксперты по кибербезопасности остаются скептиками. Аналитик по безопасности Макс Солонски раскритиковал Oracle за преуменьшение ситуации, указав, что сами имена пользователей могут считаться данными клиентов и все еще могут представлять риск. Он также отметил, что зашифрованные пароли, хотя и более безопасны, все равно могут быть взломаны со временем при достаточных усилиях.
Исследователь по вопросам безопасности Кевин Бомонт присоединился к критике, назвав официальное уведомление Oracle «исключительно плохим ответом для компании, которая управляет крайне конфиденциальными данными». Он подозревает, что взломанные системы были частью устаревшей инфраструктуры Oracle, известной как серверы Oracle Classic или Gen1, что могло позволить компании технически отрицать нарушение OCI, все равно страдая от компрометации.
Нерешенные вопросы и растущее внимание
Хотя Oracle утверждает, что украденные данные были старыми, некоторые отчеты предполагают, что информация может быть недавней, 2024 или даже 2025 года, что соответствует заявлениям хакера. Это несоответствие еще больше усиливает сомнения относительно полноты раскрытий Oracle и истинных масштабов нарушения.
Также есть вопросы без ответа о том, как произошло нарушение. Ранние расследования намекают на эксплуатацию устаревшей уязвимости, что вызывает опасения по поводу управления исправлениями Oracle и безопасности ее устаревших систем.
Пока клиенты и отраслевые эксперты ждут более подробной информации, ответ Oracle продолжает вызывать резкую критику. Инцидент подчеркивает важность своевременной и прозрачной коммуникации во время кризисов кибербезопасности, особенно для компаний, которым доверены большие объемы конфиденциальных данных.
