Oracle versucht, einen schweren Sicherheitsvorfall in seinem SaaS-Service zu vertuschen

 (doublepulsar.com)
4 Punkte von GN⁺ 2025-04-01 | 2 Kommentare | Auf WhatsApp teilen
  • In einem von Oracle betriebenen SaaS-Service kam es zu einem schweren Cybersecurity-Vorfall, doch es gibt Hinweise darauf, dass Oracle versuchte, ihn vor den Kunden geheim zu halten und zu vertuschen
  • Von Cloud-Service-Anbietern wird eine transparente Offenlegung von Cybersecurity-Vorfällen erwartet, doch Oracle bestritt stattdessen sogar den Schaden

Überblick über den Vorfall und die Behauptungen des Hackers

  • Am 21. März 2025 behauptete der Hacker rose87168, einige Oracle-Dienste unter *.oraclecloud.com kompromittiert zu haben
  • Oracle bestritt umgehend offiziell, dass es einen Einbruch in Oracle Cloud gegeben habe, und erklärte, die betreffenden Zugangsdaten stünden in keinem Zusammenhang mit Oracle Cloud
  • Der Hacker stellte jedoch Links und Materialien bereit, die belegen sollen, dass er Schreibzugriff auf den Server login.us2.oraclecloud.com hatte
    • Dieser Server basiert auf Oracle Access Manager und ist ein direkt von Oracle verwaltetes System

Belege für das Datenleck und interne Sitzungsaufzeichnung

  • Der Hacker veröffentlichte eine Audioaufzeichnung eines internen Oracle-Meetings (2 Stunden Länge)
  • Der Hacker veröffentlichte außerdem weiteres Material, darunter Konfigurationsdateien von Oracles Webservern und interne Systemeinstellungen
    • Die geleakten Daten enthalten reale Daten wie E-Mail-Adressen von Mitarbeitern von Kundenunternehmen

Oracles Reaktion und Wortklauberei

  • Während Oracle behauptete, die Services unter „Oracle Cloud“ seien nicht betroffen, versuchte das Unternehmen offenbar, den Geltungsbereich zu umgehen, indem es die betroffenen alten Dienste in Oracle Classic umbenannte
  • Dies wird als Wortklauberei zur Verschleierung des tatsächlichen Schadensausmaßes (wordsmithing) interpretiert
  • Zwar wurde Archive.org um die Entfernung von Beweismaterial gebeten, doch die zweite URL wurde nicht entfernt und ist weiterhin zugänglich

Reaktion der Sicherheits-Community und Zusammenfassung

  • Sicherheitsexperten und Medien kritisierten Oracles Reaktion
    • Obwohl Oracle Dienste betreibt, die Kundendaten verarbeiten, entzieht sich das Unternehmen seiner Verantwortung für Vertrauen und Transparenz
  • Die nachweislich betroffenen Dienste laufen auf einer von Oracle direkt betriebenen Cloud-Infrastruktur
  • Es handelt sich nicht nur um ein technisches Problem, sondern auch um eine Frage unternehmerischer Verantwortung und Ethik

Kernaussagen

  • Der Hacker drang in interne Oracle-Cloud-Services ein und leakte reale Daten sowie Systeminformationen
  • Oracle erkannte den Vorfall nicht an und versuchte, dessen Umfang durch Wortwahl herunterzuspielen
  • Sicherheitsexperten fordern von Oracle eine klare, öffentliche Erklärung sowie Maßnahmen zum Schutz der Kunden

Verwandte Beiträge

2 Kommentare

 
jjpark78 2025-04-01

Oracle hat eben wieder Oracle-Dinge getan.
 
GN⁺ 2025-04-01
Hacker-News-Kommentare
  • Wenn man Kunde von Oracle ist, dürfte dieser Vorfall kaum von großer Bedeutung sein. Oracle hat man vermutlich nicht wegen eines guten Produkts oder eines guten Unternehmens gewählt, sondern wegen informeller Absprachen des Managements
  • Sicherheitsvorfälle sind in den letzten Jahren alltäglich geworden. Hätte Oracle dies eingeräumt, wäre es in ein paar Tagen vergessen gewesen. Stattdessen zieht sich der Fall immer tiefer hinein
  • Wenn bei einem Sicherheitsvorfall nicht einmal minimale Informationen bereitgestellt werden, stellt sich die Frage, warum man überhaupt mit diesem Unternehmen zusammenarbeiten sollte. Ich frage mich, was Oracles eigentliches Ziel ist
  • Ich frage mich, ob Oracle sicher ist, dass dieser Vorfall nicht passiert ist, oder ob einfach keine Logs vorhanden sind. Ich frage mich, ob diese Situation nicht schlicht eine Lüge ist
  • Ich habe in letzter Zeit kein Unternehmen gesehen, das so vehement abgestritten hat. Laut Ars Technica wollte ein Oracle-Sprecher anonym eine Stellungnahme abgeben, die jedoch abgelehnt wurde
  • Gesetze der Bundesstaaten verlangen zwar, Kunden über Sicherheitsverletzungen zu informieren, aber die Durchsetzung ist schwach, sodass sie ignoriert werden. Es braucht ein Bundesgesetz
  • Ich nutze hauptsächlich AWS, aber ein Oracle-BDR hat mich über LinkedIn kontaktiert. Ich habe um einen Incident-Report gebeten, erhielt jedoch nur die knappe Antwort, dass es in der Oracle Cloud keine Kompromittierung gegeben habe
  • Ein weiterer Fall in Larry Ellisons Oracle-Datensicherheits-Skandalen. Das passt zu Larrys anderen politischen und gesellschaftlichen Skandalen
  • NetSuite entschädigt Kunden bei entstandenen Verlusten mit bis zum Fünffachen der Lizenzkosten von 12 Monaten
  • Das Post-Truth-Zeitalter ist verwirrend. Aber das scheint Oracles Standardverhalten zu sein
  • Es ist an der Zeit, dass Oracle seine langjährigen Kunden um Verzeihung bittet
  • Es ist beängstigend, dass Oracle Einträge aus Archive.org entfernen kann