Oracle и 5 стадий утечки: отрицание — лишь начало корпоративной трагедии

Oracle уведомила некоторых клиентов о факте взлома публичного облака корпорации и краже данных, несмотря на то, что ранее отрицала сам факт инцидента. Об этом сообщает издание The Register со ссылкой на источники, знакомые с ситуацией.

Первые сообщения о кибератаке появились в конце марта, когда пользователь с ником «rose87168» на одном из форумов заявил, что получил доступ к двум серверам авторизации клиентов Oracle и завладел примерно шестью миллионами записей. Среди похищенных данных упоминались закрытые ключи, зашифрованные учётные данные и записи LDAP. По утверждению злоумышленника, информация касалась тысяч организаций и была выставлена на продажу.

Изначально Oracle назвала утверждения ложными. Однако впоследствии несколько ИБ-специалистов проанализировали образцы опубликованных данных и подтвердили, что был скомпрометирован продукт Oracle Cloud Classic. По оценке, хакер воспользовался CVE-2021-35587 (оценка CVSS: 9.8) в компоненте Oracle Access Manager, который входит в состав Oracle Fusion Middleware. Как выяснилось, уязвимость оставалась не устранённой на серверах самой Oracle.

Кроме того, киберпреступник оставил текстовый файл с собственным email-адресом на одном из серверов login.us2.oraclecloud.com ещё в начале марта, что служит дополнительным подтверждением доступа.

На текущий момент как минимум два клиента Oracle сообщили, что компания связалась с ними для обсуждения инцидента и последствий кражи данных. В расследовании задействована компания CrowdStrike, однако она отказалась от комментариев и переадресовала запросы к Oracle. Также сообщается, что инцидентом заинтересовалось ФБР.

По информации Bloomberg, Oracle в частном порядке сообщила клиентам, что компрометация затронула устаревший сервер с данными восьмилетней давности, и похищенные учётные данные якобы уже утратили актуальность. Однако один из пострадавших клиентов заявил, что среди украденных данных фигурирует информация, актуальная по состоянию на 2024 год.

В связи с произошедшим в Техасе подан судебный иск против Oracle. Ожидается, что процесс раскрытия информации в рамках дела прольёт больше света на обстоятельства взлома. Также уточняется, что взлом не связан с другим инцидентом — атакой на Oracle Health, по поводу которой корпорация пока не делала официальных заявлений.

На фоне инцидента встаёт вопрос соответствия действиям компании требованиям Общего регламента по защите данных (GDPR) в ЕС, который обязывает сообщать об утечках персональных данных в течение 72 часов. В противном случае компании может грозить штраф в размере до 4% от глобального оборота.

В США нет федерального закона, обязывающего раскрывать факты утечек, однако в ряде штатов действуют местные нормативы, требующие оперативного уведомления. При этом возможная компрометация систем Oracle Health может повлечь санкции в рамках закона HIPAA. Юристы также рассматривают возможность подачи коллективных исков от пострадавших.