Wycieki danych z Oracle. Polski wątek

Autor. Freepik.com
Niedawno media obiegły doniesienia o dwóch wyciekach danych z Oracle. Pierwszy z nich ma dotyczyć Oracle Health, zaś drugi Oracle Cloud. Postawa giganta technologicznego przykuwa uwagę.
Informowanie o incydentach jest kluczowe dla zaufania wobec danej organizacji. Kevin Beaumont dosadnie stwierdził w tytule swojego artykułu: „Oracle próbuje ukryć poważny incydent bezpieczeństwa przed klientami usługi Oracle SaaS” (Software as a Service, pol. oprogramowanie jako usługa – przyp. red.).
Dowody ataku przedstawione przez cyberprzestępcę w przypadku ataku na Oracle Cloud są wiarygodne dla wielu analityków bezpieczeństwa. Nie inaczej jest w przypadku wycieku danych z Oracle Health – BleepingComputer udało się potwierdzić, że dane pacjentów zostały wykradzione.
Amerykański gigant technologiczny nie potwierdza zdarzenia, pomimo licznych dowodów. Wśród nich znajdują się wpisy, które wskazują, że incydent może dotyczyć polskich klientów.
Dowody ataku na Oracle Cloud
Historia rozpoczęła się od postu użytkownika rose87168 z 20 marca br., który został opublikowany na znanym forum hakerskim. Twierdzi, że udało mu się zhakować serwery Oracle, co miało poskutkować wyciekiem 6 milionów rekordów dot. użytkowników usługi SSO (Single Sign-ON) oraz LDAP (protokół odpowiedzialny m.in. za autoryzację).
Cyberprzestępca dołączył liczne dowody ataku. Wśród nich znajdują się dane trojga pracowników dotyczące protokołu LDAP oraz zrzut fragmentu bazy danych zawierającej informacje o 99 użytkownikach usługi (m.in. imię, nazwisko, służbowy mail, jednostka organizacyjna itd.). W opublikowanej próbce znajdują się maile z wielu domen, m.in. oracle.com, gmail.com, accenture.com, yahoo.com czy stanford.edu.
Bardzo wyjątkowy jest archiwalny zapis jednej z podstron witryny login.us2.oraclecloud.com – cyberprzestępca umieścił na niej swój adres e-mail. Zrzut pochodzi z 1 marca br. Możliwość sprawdzenia tej informacji na WayBack Machine była tymczasowo niedostępna, lecz obecnie można to zrobić. Jake Williams określił takie działanie w następujący sposób: „Oracle aktywnie ukrywa dowody ataku. To ktoś działający na bazie poradnika z lat 90. w 2025 roku”.
This is Oracle actively covering up evidence of an intrusion. This is someone executing 1990's breach playbooks in 2025. pic.twitter.com/yHeFnqS4WO
— Jake Williams (@MalwareJake) March 31, 2025

Autor. WayBack Machine
Analitycy z CloudSEK potwierdzili autentyczność wspomnianych danych. Udowodnili między innymi, że witryna login.us2.oraclecloud.com była produkcyjnie wykorzystywana przez Oracle oraz dane o ofiarach wyglądają na prawdziwe.
Wątek polskich organizacji
Cyberprzestępca dołączył również plik, który składa się z 140 621 linijek oraz ma dotyczyć domen, które znajdowały się w wycieku. We wpisie na forum hakerskim poinformował również, że „firmy mogą zapłacić, aby nie znajdować się w sprzedawanym zbiorze danych”.
Postanowiliśmy wyodrębnić z pliku polskie domeny. Wynika z tego, że w wycieku znajdowały się informacje na temat 721 organizacji z naszego kraju. Z racji na wagę incydentu postanowiliśmy upublicznić wybrane z nich, dotyczące administracji publicznej, uczelni i szpitali.

Autor. Pliki z wycieku / Opracowanie własne
Jak widać, w wycieku wymieniono m.in. Ministerstwo Finansów, Ministerstwo Inwestycji i Rozwoju (obecnie jego rolę pełni Ministerstwo Funduszy i Polityki Regionalnej), Narodowy Fundusz Zdrowia czy Wojskową Akademię Techniczną (maile studenckie). To automatycznie nie oznacza, że dane osób wewnątrz tych organizacji uległy naruszeniu. Pozostaje mieć nadzieję, że gigant technologiczny odniesie się szczegółowo do incydentu.
Warto przy tym dodać, że m.in. NFZ informowało o korzystaniu z usług Oracle w kwietniu ub.r.
Wyciek z Oracle Health
Media zza Oceanu niedawno informowały również o wycieku danych z Oracle Health. Jak podaje TechCrunch, niektórzy korzystający z tej usługi zostali poinformowani o wycieku ich danych z przestarzałego serwera, który nie był zmigrowany do Oracle Cloud. Anonimowy pracownik Oracle przekazał TechCrunchowi, że firma nie informuje nawet swoich pracowników o zdarzeniu. Sprawa wydaje się niecodzienna.
Oracle zaprzecza, ekspertka kontruje
„Nie doszło do przełamania zabezpieczeń Oracle Cloud. Opublikowane dane logowania nie dotyczą Oracle Cloud. Żaden z klientów Oracle Cloud nie został dotknięty wyciekiem ani nie utracił żadnych danych” – przekazał Oracle w rozmowie z BleepingComputer.
Lisa Forte na portalu BlueSky podkreśliła:
Jeśli to okaże się prawdą (wyciek danych - przyp. red.), a trudno mi sobie wyobrazić, że będzie inaczej, sytuacja wygląda bardzo źle. Próby manipulowania słowami, aby uniknąć odpowiedzialności za naruszenie, nie przyniosą korzyści. Możesz myśleć, że to zadziała, ale ostatecznie cię pogrąży. Nie potrzebujesz szczegółowych opisów, ale potrzebujesz szczerości.
Lisa Forte
Bloomberg News twierdzi, że incydentem zajmuje się FBI.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany