Reklama

Wycieki danych z Oracle. Polski wątek

Oracle stanęło w ogniu krytyki za swoją politykę informowania o incydentach
Oracle stanęło w ogniu krytyki za swoją politykę informowania o incydentach
Autor. Freepik.com

Niedawno media obiegły doniesienia o dwóch wyciekach danych z Oracle. Pierwszy z nich ma dotyczyć Oracle Health, zaś drugi Oracle Cloud. Postawa giganta technologicznego przykuwa uwagę.

Informowanie o incydentach jest kluczowe dla zaufania wobec danej organizacji. Kevin Beaumont dosadnie stwierdził w tytule swojego artykułu: „Oracle próbuje ukryć poważny incydent bezpieczeństwa przed klientami usługi Oracle SaaS” (Software as a Service, pol. oprogramowanie jako usługa – przyp. red.).

Dowody ataku przedstawione przez cyberprzestępcę w przypadku ataku na Oracle Cloud są wiarygodne dla wielu analityków bezpieczeństwa. Nie inaczej jest w przypadku wycieku danych z Oracle Health – BleepingComputer udało się potwierdzić, że dane pacjentów zostały wykradzione.

Amerykański gigant technologiczny nie potwierdza zdarzenia, pomimo licznych dowodów. Wśród nich znajdują się wpisy, które wskazują, że incydent może dotyczyć polskich klientów.

    Reklama

    Dowody ataku na Oracle Cloud

    Historia rozpoczęła się od postu użytkownika rose87168 z 20 marca br., który został opublikowany na znanym forum hakerskim. Twierdzi, że udało mu się zhakować serwery Oracle, co miało poskutkować wyciekiem 6 milionów rekordów dot. użytkowników usługi SSO (Single Sign-ON) oraz LDAP (protokół odpowiedzialny m.in. za autoryzację).

    Cyberprzestępca dołączył liczne dowody ataku. Wśród nich znajdują się dane trojga pracowników dotyczące protokołu LDAP oraz zrzut fragmentu bazy danych zawierającej informacje o 99 użytkownikach usługi (m.in. imię, nazwisko, służbowy mail, jednostka organizacyjna itd.). W opublikowanej próbce znajdują się maile z wielu domen, m.in. oracle.com, gmail.com, accenture.com, yahoo.com czy stanford.edu.

    Bardzo wyjątkowy jest archiwalny zapis jednej z podstron witryny login.us2.oraclecloud.comcyberprzestępca umieścił na niej swój adres e-mail. Zrzut pochodzi z 1 marca br. Możliwość sprawdzenia tej informacji na WayBack Machine była tymczasowo niedostępna, lecz obecnie można to zrobić. Jake Williams określił takie działanie w następujący sposób: Oracle aktywnie ukrywa dowody ataku. To ktoś działający na bazie poradnika z lat 90. w 2025 roku.

    Wpis widoczny na stronie do archiwizowania danych
    Wpis widoczny na stronie do archiwizowania danych
    Autor. WayBack Machine

    Analitycy z CloudSEK potwierdzili autentyczność wspomnianych danych. Udowodnili między innymi, że witryna login.us2.oraclecloud.com była produkcyjnie wykorzystywana przez Oracle oraz dane o ofiarach wyglądają na prawdziwe.

      Reklama

      Wątek polskich organizacji

      Cyberprzestępca dołączył również plik, który składa się z 140 621 linijek oraz ma dotyczyć domen, które znajdowały się w wycieku. We wpisie na forum hakerskim poinformował również, że „firmy mogą zapłacić, aby nie znajdować się w sprzedawanym zbiorze danych”.

      Postanowiliśmy wyodrębnić z pliku polskie domeny. Wynika z tego, że w wycieku znajdowały się informacje na temat 721 organizacji z naszego kraju. Z racji na wagę incydentu postanowiliśmy upublicznić wybrane z nich, dotyczące administracji publicznej, uczelni i szpitali.

      Wybrane rekordy z dowodów wycieku
      Wybrane rekordy z dowodów wycieku
      Autor. Pliki z wycieku / Opracowanie własne

      Jak widać, w wycieku wymieniono m.in. Ministerstwo Finansów, Ministerstwo Inwestycji i Rozwoju (obecnie jego rolę pełni Ministerstwo Funduszy i Polityki Regionalnej), Narodowy Fundusz Zdrowia czy Wojskową Akademię Techniczną (maile studenckie). To automatycznie nie oznacza, że dane osób wewnątrz tych organizacji uległy naruszeniu. Pozostaje mieć nadzieję, że gigant technologiczny odniesie się szczegółowo do incydentu.

      Warto przy tym dodać, że m.in. NFZ informowało o korzystaniu z usług Oracle w kwietniu ub.r.

      Wyciek z Oracle Health

      Media zza Oceanu niedawno informowały również o wycieku danych z Oracle Health. Jak podaje TechCrunch, niektórzy korzystający z tej usługi zostali poinformowani o wycieku ich danych z przestarzałego serwera, który nie był zmigrowany do Oracle Cloud. Anonimowy pracownik Oracle przekazał TechCrunchowi, że firma nie informuje nawet swoich pracowników o zdarzeniu. Sprawa wydaje się niecodzienna.

        Reklama

        Oracle zaprzecza, ekspertka kontruje

        Nie doszło do przełamania zabezpieczeń Oracle Cloud. Opublikowane dane logowania nie dotyczą Oracle Cloud. Żaden z klientów Oracle Cloud nie został dotknięty wyciekiem ani nie utracił żadnych danychprzekazał Oracle w rozmowie z BleepingComputer.

        Lisa Forte na portalu BlueSky podkreśliła:

        Jeśli to okaże się prawdą (wyciek danych - przyp. red.), a trudno mi sobie wyobrazić, że będzie inaczej, sytuacja wygląda bardzo źle. Próby manipulowania słowami, aby uniknąć odpowiedzialności za naruszenie, nie przyniosą korzyści. Możesz myśleć, że to zadziała, ale ostatecznie cię pogrąży. Nie potrzebujesz szczegółowych opisów, ale potrzebujesz szczerości.
        Lisa Forte

        Bloomberg News twierdzi, że incydentem zajmuje się FBI.

          Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

          Reklama
          Reklama

          Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

          Materiał sponsorowany

          Komentarze

            Reklama