Компанія Oracle офіційно визнала факт масштабного витоку конфіденційних даних корпоративних клієнтів внаслідок компрометації застарілої інфраструктури Oracle Cloud Classic. Інцидент торкнувся систем, які не використовувались з 2017 року, проте містили критично важливу інформацію про користувачів.
Виявлення та підтвердження витоку даних
Перші ознаки компрометації з’явились у березні 2025 року, коли хакер під псевдонімом rose87168 опублікував на форумі BreachForums викрадену інформацію. Зловмисник запропонував продаж або обмін даних на 0-day експлойти, надавши докази у вигляді зразків інформації та переліку понад 140 000 скомпрометованих доменів.
Механізм проведення кібератаки
За даними експертів CybelAngel, зловмисники здійснили атаку в січні 2025 року, використовуючи вразливість у Java, виявлену ще у 2020 році. Проникнення в систему відбулося через сервери Oracle Gen 1, що дозволило встановити веб-шелл та отримати несанкціонований доступ до бази даних Oracle Identity Manager. Серед викрадених даних опинилися електронні адреси, хешовані паролі та імена користувачів.
Паралельна компрометація медичних даних
Одночасно з основним інцидентом виявлено окремий випадок компрометації Oracle Health (колишній Cerner). Атака призвела до витоку конфіденційної інформації пацієнтів численних медичних установ США. Зловмисники використали скомпрометовані облікові дані для доступу до серверів міграції даних Cerner на початку 2025 року.
Реагування та розслідування інциденту
Розслідування проводиться спеціалістами CrowdStrike у співпраці з ФБР. Oracle здійснює індивідуальне інформування постраждалих клієнтів, наголошуючи на тому, що витік стосується виключно застарілої інфраструктури. Експерти з кібербезпеки, включаючи Кевіна Бомонта, відзначають, що попередні заперечення компанії щодо зламу Oracle Cloud були технічно коректними, але маніпулятивними, оскільки атака насправді торкнулася перейменованої платформи Oracle Classic.
Цей інцидент яскраво демонструє критичну важливість своєчасного оновлення систем безпеки та виведення з експлуатації застарілих платформ. Організаціям рекомендується регулярно проводити аудит використовуваних хмарних сервісів, впроваджувати багаторівневий захист та забезпечувати належний моніторинг безпеки успадкованих систем. Особливу увагу слід приділити захисту історичних даних та своєчасному видаленню неактуальної інформації з відключених сервісів.
