Оракл сообщает о взломе «устаревших серверов», отрицая утечку данных из облака

Oracle начала отправлять уведомления о нарушении данных своим клиентам. В этих письмах компания преуменьшает значимость атак. Не все согласны с такой оценкой.

У нас есть подтверждение, что Oracle начала уведомлять своих клиентов о недавнем нарушении данных. Похоже, компания настаивает на том, что это была бессмысленная атака, которая не повлияет ни на что. В начале апреля 2025 года злоумышленник с псевдонимом «rose87168» открыл новую тему на подпольном форуме для рекламы продажи базы данных, украденной у компании. В базе данных, как утверждается, содержалось шесть миллионов записей, включая частные ключи безопасности, зашифрованные учетные данные и записи LDAP, все принадлежащие клиентам Oracle. Чтобы подтвердить подлинность информации, хакер даже загрузил новый документ в облако, содержащий его собственный адрес электронной почты.

Oracle отрицает серьезность нарушения

Сначала Oracle отрицала, а затем подтвердила нарушение, заявив, что это была бессмысленная атака, поскольку серверы были старыми и не использовались, а данные в них устарели.

Теперь BleepingComputer сообщает, что электронные письма с уведомлениями начали рассылаться: «Oracle хотел бы однозначно заявить, что Oracle Cloud — также известный как Oracle Cloud Infrastructure (OCI) — НЕ подвергался нарушениям безопасности», — якобы говорится в письме. «Ни одна среда клиентов OCI не была проникнута. Никакие данные клиентов OCI не просматривались или не были украдены. Ни одна служба OCI не прерывалась или каким-либо образом не была скомпрометирована». В электронных письмах, отправленных из replies@oracle-mail.com, клиентов побуждали связаться с службой поддержки Oracle или своим менеджером по учетной записи, если у них есть дополнительные вопросы. «Хакер получил доступ и опубликовал имена пользователей с двух устаревших серверов, которые никогда не входили в состав OCI. Хакер не обнародовал применимые пароли, потому что пароли на этих двух серверах были либо зашифрованы, либо хэшированы. Следовательно, хакер не смог получить доступ к средам клиентов или данным клиентов».

По сообщению The Register, данные одного из пострадавших были созданы в 2024 году. Расследование продолжается, но пока похоже, что злоумышленник использовал уязвимость в Oracle Access Manager для проникновения на серверы, размещенные Oracle. В настоящее время эксперты по кибербезопасности CrowdStrike анализируют инцидент. ФБР также было уведомлено об этой атаке, подтвердила Oracle.