Incydent w Oracle Cloud. Mamy stanowisko ministerstwa

20 marca br. na znanym blogu hakerskim pojawił się wpis użytkownika rose87168. Twierdził, że udało mu się wykraść sześć milionów rekordów związanych z użytkownikami usług Oracle. Dodatkowo dołączył trzy pliki tekstowe – jeden z nich dotyczy protokołu LDAP (odpowiedzialnego m.in. za autoryzację), drugi zawierał 99 rekordów bazy danych, zaś trzeci to ponad 140 tys. linijek, które mają zawierać informacje o organizacjach korzystających z usług dotkniętych atakiem.

Sprawę szczegółowo opisaliśmy na łamach naszego portalu na początku kwietnia br.

Polski wątek

Spośród tysięcy wpisów udało nam się zlokalizować 721 domen .pl. To oczywiście nie oznaczało automatycznie, że dane tych organizacji zostały wykradzione, dlatego postanowiliśmy skierować pytania do większości podmiotów publicznych wymienionych w pliku. Wśród nich znalazły się m.in.:

• nfz.gov.pl (Narodowy Fundusz Zdrowia);
• miir.gov.pl (dawne Ministerstwo Inwestycji i Rozwoju, dziś funkcjonuje Ministerstwo Funduszy i Polityki Regionalnej);
• mf.gov.pl (Ministerstwo Finansów);
• uw.edu.pl (Uniwersytet Warszawski);
• student.pwr.edu.pl (Politechnika Wrocławska, mail studencki);
• agh.edu.pl (Akademia Górniczo-Hutnicza);
• student.wat.edu.pl (Wojskowa Akademia Techniczna, mail studencki).

1 kwietnia br. skierowaliśmy pytania do wyżej wymienionych organizacji. Dotychczas uzyskaliśmy odpowiedzi od trzech podmiotów. Stanowiska pozostałych ukażą się niezwłocznie po ich uzyskaniu.

Uczelnie a Oracle Cloud

Politechnika Wrocławska niezwłocznie odpowiedziała na pytania. Przekazano nam, że uczelnia korzysta z rozwiązań Oracle jako baz danych instalowanych w infrastrukturze uczelni. Nie są wykorzystywane usługi chmurowe od Oracle.

„(…) osoby studiujące u nas mogą rejestrować się w usługach Oracle, podając jako login konto studenckie, bez związku z naszym lokalnym SSO i hasłem” – podkreślił Dział Informacji i Promocji Politechniki Wrocławskiej.

Nieco inna sytuacja miała miejsce na Akademii Górniczo-Hutniczej. Dowiedzieliśmy się, że uczelnia faktycznie korzysta z usług chmurowych od Oracle. Jednak AGH wykluczyło nieuprawniony dostęp do danych.

Obydwie uczelnie nie korzystały z usług SSO (ang. Single Sign-On) od Oracle.

Stanowisko Ministerstwa Funduszy i Polityki Regionalnej

Identyczny zestaw pytań skierowaliśmy do MFiPR. Poinformowano nas o tym, że Ministerstwo „korzysta z usług chmury Oracle Cloud Infrastructure”. Dane pracowników Ministerstwa Infrastruktury i Rozwoju były przetwarzane w ramach usług Oracle w okresie od 19.01.2018 do 20.09.2019 r.

Tak samo jak PWR i AGH, MFiPR nie korzystało z usługi SSO. Co ważne, Ministerstwo Funduszy i Polityki Regionalnej „uzyskało od Oracle oficjalne zaprzeczenie, aby doszło do jakiegokolwiek wycieku danych”. Nie zarejestrowano przy tym żadnych anomalii w działaniu systemów MFiPR w chmurze od Oracle oraz nie odnotowano nieuprawnionego dostępu do danych.

Informowanie o incydencie

Zarówno AGH i MIIR (którego rolę dziś pełni MFiPR) korzystały z usług Oracle Cloud oraz znajdowały się w dowodach ataku, co nadal nie oznacza, że dane z tych organizacji zostały wykradzione.

W artykule BleepingComputer z 26 marca możemy zapoznać się z następującym stanowiskiem Oracle:

„Nie doszło do przełamania zabezpieczeń Oracle Cloud. Opublikowane dane logowania nie dotyczą Oracle Cloud. Żaden z klientów Oracle Cloud nie został dotknięty wyciekiem ani nie utracił żadnych danych”.

Jednakże już wieczorem 2 kwietnia w artykule Bloomberga możemy przeczytać, że cyberprzestępcy udało się uzyskać dostęp do infrastruktury Oracle oraz miało wystąpić żądanie okupu. Skradzione dane logowania mają pochodzić „nawet z 2024 roku”. O sprawie mieli zostać powiadomieni niektórzy klienci firmy.

Powyższy przykład pokazuje, że przejrzyste informowanie o incydentach jest ważne.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].