Компания Oracle официально признала факт компрометации данных клиентов, произошедшей в результате взлома устаревшей облачной инфраструктуры Oracle Cloud Classic. Инцидент затронул учетные данные корпоративных клиентов, хранившиеся в системе, которая последний раз использовалась в 2017 году.
Хронология инцидента и первоначальное отрицание
В марте 2025 года хакер с псевдонимом rose87168 опубликовал на форуме BreachForums информацию, предположительно похищенную из Oracle Cloud. Злоумышленник предложил продать данные или обменять их на 0-day эксплоиты, подкрепив свои заявления публикацией образцов данных и списка из более чем 140 000 затронутых доменов.
Технические детали компрометации
По данным исследователей из CybelAngel, атака была осуществлена в январе 2025 года через эксплуатацию уязвимости 2020 года в Java. Злоумышленники получили доступ к серверам Oracle Gen 1 (Oracle Cloud Classic), что позволило им развернуть веб-шелл и похитить информацию из базы данных Oracle Identity Manager, включая электронные адреса, хешированные пароли и имена пользователей.
Параллельный инцидент в Oracle Health
Одновременно с расследованием первого инцидента стало известно о separate компрометации SaaS-решения Oracle Health (бывший Cerner). Атака затронула множество медицинских организаций США и привела к утечке конфиденциальных данных пациентов. Злоумышленники использовали скомпрометированные учетные данные для доступа к серверам миграции данных Cerner в январе 2025 года.
Реакция Oracle и расследование
В настоящее время расследованием инцидента занимаются специалисты CrowdStrike совместно с ФБР. Oracle проводит частные уведомления затронутых клиентов, подчеркивая, что компрометация коснулась только устаревшей инфраструктуры. Эксперты по кибербезопасности, включая Кевина Бомонта, отмечают, что отрицание компанией взлома Oracle Cloud технически корректно, но является семантической игрой слов, поскольку атака затронула переименованную платформу Oracle Classic.
Этот инцидент подчеркивает важность регулярного обновления систем безопасности и своевременного вывода из эксплуатации устаревших платформ. Организациям рекомендуется провести аудит используемых облачных сервисов и убедиться в актуальности применяемых мер защиты, особенно при работе с унаследованными системами.
