Oracle under eld efter kontroversiell respons på senaste hack

Oracle står inför växande motreaktion från cybersäkerhetscommunityt efter dess hantering av en nyligen inträffad hackincident som avslöjade användarinformation från föråldrade servrar. Medan teknikjätten nu har börjat utfärda skriftliga meddelanden till berörda kunder, hävdar kritiker att företagets försenade och förvirrande svar bara har förvärrat situationen.

Från förnekelse till skadekontroll

Kontroversen började den 20 mars 2025, när en hackare dök upp på ett välkänt cyberbrottsforum och påstod sig ha brutit mot Oracle Cloud-servrar. Angriparen erbjöd miljontals poster till försäljning, påstås knutna till över 140 000 Oracle-hyresgäster, och inklusive krypterade eller hashade inloggningsuppgifter.

Oracle svarade snabbt och utfärdade ett bestämt förnekande att Oracle Cloud-system hade äventyrats. Men när hackaren började läcka prover av stulna data – senare ansågs sannolikt autentiska av cybersäkerhetsforskare – började Oracle-kunder komma fram för att bekräfta att deras data var en del av intrånget. Detta motsäger Oracles ursprungliga uttalanden och väckte allvarliga frågor om transparensen i dess kommunikation.

Efter dessa avslöjanden gick Oracle från offentliga förnekelser till privata avslöjande. Det ska ha kontaktat kunder muntligen för att erkänna att även om vissa system hade åtkomst, involverade intrånget inte Oracle Cloud Infrastructure (OCI). Det var inte förrän den 7 april – mer än två veckor efter att intrånget offentliggjordes – som Oracle började utfärda formella skriftliga meddelanden.

Läckt data kopplat till äldre servrar

I sina skriftliga meddelanden insisterade Oracle på att "ingen OCI-kundmiljö har penetrerats" och hävdade att ingen kunddata eller tjänst hade äventyrats. Istället avslöjade företaget att angriparen fick åtkomst till användarnamn från två äldre servrar som inte längre används och inte ingår i OCI.

Enligt Oracle var lösenorden associerade med dessa användarnamn antingen krypterade eller hashade, vilket gjorde dem oanvändbara. Hackaren ska ha bekräftat att de inte kunde knäcka de krypterade uppgifterna.

Trots dessa försäkringar förblir cybersäkerhetsexperter skeptiska. Säkerhetsanalytikern Max Solonski kritiserade Oracles nedtoning av situationen och påpekade att användarnamn i sig kan betraktas som kunddata och fortfarande kan utgöra en risk. Han noterade också att krypterade lösenord, även om de är säkrare, fortfarande kan knäckas med tiden med tillräcklig ansträngning.

Säkerhetsforskaren Kevin Beaumont tillade kritiken och kallade Oracles officiella meddelande som "ett exceptionellt dåligt svar för ett företag som hanterar extremt känslig data." Han misstänker att de brutna systemen var en del av Oracles äldre infrastruktur, känd som Oracle Classic eller Gen1-servrar, vilket kan ha gjort det möjligt för företaget att tekniskt förneka ett brott mot OCI samtidigt som de lider av en kompromiss.

Kvarstående frågor och växande granskning

Medan Oracle hävdar att den stulna informationen var gammal, tyder vissa rapporter på att informationen kan vara så färsk som 2024 eller till och med 2025, i linje med hackarens påståenden. Denna diskrepans ger ytterligare anledning till tvivel om fullständigheten i Oracles avslöjanden och den verkliga omfattningen av överträdelsen.

Det finns också obesvarade frågor om hur intrånget uppstod. Tidiga undersökningar tyder på utnyttjandet av en föråldrad sårbarhet, vilket ger upphov till oro för Oracles patchhantering och säkerheten för dess äldre system.

När kunder och branschexperter väntar på mer detaljer, fortsätter Oracles svar att dra skarp kritik. Incidenten belyser vikten av snabb, transparent kommunikation under cybersäkerhetskriser – särskilt för företag som har anförtrotts stora mängder känslig data.