Oracle bevestigt in e-mailmeldingen aan klanten dat een hacker inloggegevens stal en lekte. De gegevens stonden volgens Oracle op twee verouderde servers.
Het bedrijf stelt echter dat de Oracle Cloud-servers niet zijn gecompromitteerd en dat dit incident geen invloed had op klantgegevens of clouddiensten. Oracle stelt ondubbelzinnig dat de Oracle Cloud – ook bekend als Oracle Cloud Infrastructure of OCI – geen beveiligingsinbreuk heeft meegemaakt. Dit meldt het bedrijf in een klantmelding die werd gedeeld met BleepingComputer.
Geen enkele OCI-klantomgeving is binnengedrongen, luidt het verder in de verklaring. Ook zijn geen OCI-klantgegevens bekeken of gestolen. Geen enkele OCI-dienst ondervond een onderbreking of is gecompromitteerd, voegde het bedrijf toe in e-mails verzonden vanaf replies@oracle-mail.com. Oracle verzoekt klanten contact op te nemen met Oracle Support of hun accountmanager als ze nog vragen hebben.
Versleutelde wachtwoorden
De leverancier legt uit dat een hacker toegang kreeg tot twee verouderde servers die nooit deel uitmaakten van OCI. Daarvan lekten de gebruikersnamen uit. De hacker zou geen bruikbare wachtwoorden hebben blootgelegd, omdat de wachtwoorden op die twee servers versleuteld en/of gehasht waren. De hacker had, meldt Oracle, dus geen toegang tot klantomgevingen of klantgegevens.
Sinds het incident in maart aan het licht kwam, toen een dreigingsacteur (rose87168) 6 miljoen gegevensrecords te koop aanbood op BreachForums, ontkent Oracle consequent berichten over een inbreuk op Oracle Cloud in verklaringen aan de pers. Hoewel dit technisch gezien klopt met wat Oracle aan klanten vertelt – dat de inbreuk betrekking had op een ouder platform, Oracle Cloud Classic – is dit volgens cybersecurity-expert Kevin Beaumont slechts een woordspel.
Hij legt uit dat Oracle oude Oracle Cloud-diensten hernoemde naar Oracle Classic. Oracle Classic is getroffen door het beveiligingsincident. Oracle ontkent het bij Oracle Cloud door deze definitie te hanteren – maar het zijn nog steeds Oracle clouddiensten die Oracle beheert. Het is volgens Beaumont dus een spel met woorden.
BleepingComputer nam contact op met Oracle om te bevestigen of deze meldingen legitiem zijn en niet door de dreigingsacteur of een andere derde partij zijn verzonden. Het medium kreeg nog geen reactie. Oracle verduidelijkte ook nog niet of de getroffen servers deel uitmaken van Oracle Cloud Classic of een ander platform.
Legacy-omgeving sinds 2017 niet gebruikt
Dit volgt op het feit dat het bedrijf vorige week in privégesprekken met sommige klanten erkende dat aanvallers oude klantgegevens hebben gestolen na een inbraak in een legacy-omgeving die voor het laatst in 2017 werd gebruikt.
Hoewel Oracle klanten vertelde dat het ging om niet-gevoelige oude gegevens uit een legacy-omgeving, deelde de dreigingsacteur gegevens met BleepingComputer van eind 2024 en plaatste later nieuwere gegevens van 2025 op BreachForums.
BleepingComputer heeft daarnaast onafhankelijk bevestigd met meerdere Oracle-klanten dat monsters van de gelekte gegevens (inclusief LDAP-weergavenamen, e-mailadressen, voornamen en andere identificerende informatie) die van de dreigingsacteur afkomstig zijn, geldig waren.
Cybersecuritybedrijf CybelAngel onthulde vorige week dat Oracle klanten had geïnformeerd dat een aanvaller een webshell en extra malware installeerde op sommige van Oracle’s Gen 1-servers (ook bekend als Oracle Cloud Classic) al in januari 2025. Totdat de inbreuk eind februari werd ontdekt, zou de dreigingsacteur gegevens hebben gestolen uit de Oracle Identity Manager (IDM)-database, waaronder e-mails van gebruikers, gehashte wachtwoorden en gebruikersnamen.