Oracle наконец подтвердила клиентам, что хакер украл и опубликовал учётные данные с «двух устаревших серверов». Однако компания добавила, что серверы Oracle Cloud не были скомпрометированы, и этот инцидент не повлиял на данные клиентов и облачные сервисы.
«Oracle Cloud — также известный как Oracle Cloud Infrastructure или OCI — НЕ подвергся нарушению безопасности. Ни одна среда клиентов OCI не была взломана. Никакие данные клиентов OCI не были просмотрены или украдены. Ни одна служба OCI не была каким-либо образом скомпрометирована», — добавила компания.
Как пояснили Oracle, хакер получил доступ и опубликовал имена пользователей с двух устаревших серверов, которые никогда не были частью OCI. При этом он не смог раскрыть пароли, поскольку они были либо зашифрованы, либо хэшированы.
С момента инцидента в марте, когда злоумышленник выставил базу с 6 млн записей на BreachForums, Oracle последовательно отрицала сообщения о взломе Oracle Cloud. Однако, даже если взлом затронул старую платформу Oracle Cloud Classic, то объяснения компании можно считать обычной игрой слов, заявил эксперт по кибербезопасности Кевин Бомонт. «Oracle переименовала старые службы Oracle Cloud в Oracle Classic. У Oracle Classic произошёл инцидент безопасности», — сказал он.
Компании ещё предстоит уточнить, являются ли взломанные серверы частью Oracle Cloud Classic или другой платформы. Неделю назад она в частном порядке признала, что злоумышленники украли старые учётные данные клиентов после взлома «устаревшей среды», которая последний раз использовалась в 2017 году. Однако хакер, стоящий за взломом, поделился данными с BleepingComputer, относящимися к концу 2024 года, а затем опубликовал более новые записи 2025 года на BreachForums.
В BleepingComputer проверили данные и смогли подтвердить, что они (включая связанные отображаемые имена LDAP, адреса электронной почты, имена и другую идентификационную информацию) были действительными.
Компания по кибербезопасности CybelAngel впервые сообщила на прошлой неделе со ссылкой на Oracle, что злоумышленник развернул веб-оболочку и дополнительное вредоносное ПО на некоторых серверах Oracle Gen 1 (также известных как Oracle Cloud Classic) ещё в январе 2025 года. До обнаружения взлома в конце февраля он, предположительно, похитил данные из базы данных Oracle Identity Manager (IDM), включая адреса электронной почты пользователей, хешированные пароли и имена.
В прошлом месяце сообщалось, что Oracle в частном порядке уведомила клиентов о ещё одной утечке в Oracle Health, которая произошла в январе. Это позволило раскрыть медданные пациентов нескольких медицинских организаций и больниц в США. Источники сообщали, что злоумышленник по имени «Эндрю» теперь вымогает деньги у взломанных больниц, требуя миллионы долларов в криптовалюте за то, чтобы не продавать или не разглашать украденные данные.
Источник: habr.com
