Første halvdel av dette året har ikke vært lykkelig for Oracle eller kundene deres. Selskapet har blitt utsatt for to alvorlige datainnbrudd. Dette er problem nok i seg selv, men det virkelige problemet er hvordan de har håndtert innbruddene.
Eksperter har kritisert databasegiganten for dårlig praksis for avsløring av brudd, inkludert manglende kommunikasjon og forvrengning av budskapet da den «innslo».
Brudd nummer én
Selskapets problemer startet i midten av februar da de fikk vite at angripere hadde fått tilgang til data på servere hos selskapet Cerner, som produserer elektroniske helsejournaler. Cerner, som Oracle kjøpte opp for 28 milliarder dollar i 2022, hadde en pågående kontrakt med det amerikanske veterandepartementet. Oracle fikk vite om angrepet omtrent en måned etter at det skjedde.
A klassesaksjonen anlagt mot Oracle i slutten av mars, irettesatte selskapet for å ha håndtert hendelsen dårlig.
«Mangelen på varsling forverrer omstendighetene for ofrene for datainnbruddet», heter det i søksmålet, som klaget over at de ikke hadde varslet noen om hendelsen eller fortalt dem om de hadde klart å begrense trusselen. De forklarte heller ikke hvordan innbruddet skjedde.
Nok et brudd rammer
Så kom et nytt sikkerhetsbrudd frem i lyset. 21. mars rapporterte cybersikkerhetsselskapet CloudSEK oppdaget en trusselaktør kalt «rose87168» som selger dataene på nettet.
Dataene ble stjålet fra 140,000 11 berørte skybrukere, ifølge den hemmelighetsfulle kriminelle leverandøren, som hevdet å ha kommet seg inn i systemet via et Oracle Cloud-påloggingsendepunkt. CloudSEK fant ut at de utnyttet en forekomst av Oracle Fusion Middleware 2014G, sist oppdatert i XNUMX. Dumpede eiendeler inkluderer Java Key Store-filer som inneholder kryptografiske sertifikater, sammen med krypterte passord for enkel pålogging og nøkkelfiler.
Det er ganske alvorlig for kundene, men Oracle ga visstnok ut nesten ingen informasjon i de første dagene av sikkerhetsbruddet, bortsett fra å hevde at det bare påvirket eldre servere. Selskapet fortalte Piperende datamaskin: «Det har ikke vært noe brudd på Oracle Cloud. De publiserte legitimasjonene gjelder ikke for Oracle Cloud. Ingen Oracle Cloud-kunder har opplevd et brudd eller mistet data.»
Ekspertene var imidlertid uenige. rose87168 stilte et utvalg av dataene til rådighet for Alon Gal, medgründer av sikkerhetskonsulentfirmaet Hudson Rock. Gal kontaktet selskaper på listen for å bekrefte dataene. Kundene sa at filene som angivelig kom fra Oracle Cloud var legitime.
CloudSEK også publiserte en oppfølgingsartikkel som beviser at endepunktet rose87168 overtok var en produksjonsenhet.
Oracle kontaktet til slutt noen kunder privat og rapporterte at deres Gen 1-servere hadde blitt utsatt for en sikkerhetshendelse. Gen 1-servere er gamle maskiner som nå betjener det som er kjent som Oracle Cloud Classic. Gen 2-servere, som inneholder ekstra funksjoner, kalles Oracle Cloud.
Alt dette betyr at hvis man følger formuleringen i Oracles avslag strengt til punkt og prikke, ble det bare Oracle Cloud Classic-servere som ble pwnet, ikke Oracle Cloud-servere. Men vi mistenker at markedet generelt sett ville ha foretrukket en full, åpen diskusjon om hva som hadde skjedd, i stedet for å ha å gjøre med en ordknapp leverandør som bare avslørte minimalt med informasjon.
Hvem slettet den arkiverte siden?
Det er her ting blir spesielt vanskelige. rose87168 hadde også lastet opp en tekstfil til det kompromitterte Oracle-endepunktet og publisert et skjermbilde av den som bevis på at de kontrollerte ressursen. Et øyeblikksbilde av bevisene på kompromitteringen ble lagret på Wayback Machine, en tjeneste som driftes av Internet Archive. Denne tjenesten lagrer kopier av nettsteder for ettertiden etter at de forsvinner. Imidlertid var den arkiverte siden angivelig fjernet ved hjelp av arkivets ekskluderingsprosess.
«Dette er Oracle som aktivt dekker over bevis på et innbrudd», sa sikkerhetsforsker Jake Williams i innlegget sitt som rapporterte om nedleggelsen av X. «Dette er noen som utfører strategier for brudd på 1990-tallet i 2025.»
Vi kan ikke bevise hvem som tok ned den siden, men hele affæren er likevel en utmerket leksjon i hvordan man ikke skal håndtere et datainnbrudd fra et selskap som er fast bestemt på å beskytte merkevaren sin. løp for å øke sin andel av den lukrative skytjenestervirksomheten.
Hvordan gjøre det riktig
Så, hvordan bør du håndtere rapportering av sikkerhetsbrudd? Rammeverk som NISTs veiledning for håndtering av datasikkerhetshendelser og ISO 27001 har generelle retningslinjer for kommunikasjon av hendelser. Viktige punkter inkluderer:
Kommuniser raskt og nøyaktig: Varsle berørte parter så snart som praktisk mulig når en hendelse er bekreftet og omfanget er forstått. Regelverk krever nå ofte i det minste innledende rapporter innen et stramt tidsvindu, og det blir obligatorisk i mange tilfeller.
Koordiner svaret ditt: Hold kommunikasjonen faktabasert og koordinert, slik at ingen avslører noe som ikke er bekreftet. For å oppnå dette, vær klar over på forhånd hvem som skal snakke med de ulike interessentene, inkludert kunder, regulatorer, ansatte, entreprenører og pressen. Kanalisering av budskap gjennom dem sikrer at alle forstår den interne kommunikasjonskjeden.
Vit hva du skal kommunisere: Selv om ikke alt vil være tilgjengelig i starten, bør varsler etter hvert inneholde et sammendrag av hva som skjedde, sammen med hvilke data som ble kompromittert og hvilke tiltak som iverksettes for å redusere problemet og forhindre at det skjer igjen. Berørte personer bør også vite hva de bør gjøre for å beskytte seg selv.
Ikke kommuniser for lite: Ikke all informasjon vil komme ut umiddelbart, men du bør være så direkte som mulig og kommunisere i god tro. Som FTC påpeker: «Ikke kom med villedende uttalelser om bruddet. Og ikke hold tilbake viktige detaljer som kan hjelpe forbrukerne med å beskytte seg selv og sin informasjon.» Vi ønsker åpen kommunikasjon, ikke spinn. Ikke behandle dette som en kontradiktorisk prosess.
Definer kommunikasjonsmaler: Å utvikle forhåndsgodkjente meldingsmaler bidrar til å holde kommunikasjonen smidig og konsekvent. FTC har et eksempel.
Samarbeid med regulatorer: Ulike jurisdiksjoner (både internasjonale, nasjonale og lokale) vil ha sine egne regler for hvordan og når man skal varsle ulike interessenter. Det samme gjelder ulike bransjer. Samarbeid med advokatene dine for å sikre at du følger dem.
Hold deg ansvarlig: Akkurat som i hverdagen forventer voksne at hverandre skal ta ansvar for sine feil og rette opp i dem. Sørg for at kundene har tilstrekkelig støtte. Dette kan inkludere effektiv kommunikasjon og spesifikk hjelp rundt utbedring av sikkerhetsbrudd, bestående av verktøy som beskytter deg. Det er talende at CloudSEK, ikke Oracle, lanserte et verktøy for selskaper for å avgjøre om dataene deres var på listen over stjålne poster.
Dette er ikke den eneste gangen Oracle har fått kritikk for sin tilnærming til håndtering av cybersikkerhetsproblemer. Disse inkluderer trege responser til rapporter om sikkerhetsfeil i produktene deres og CSOs utbrudd mot sikkerhetsforskere som sendte henne feilrapporter, noe som fikk så mye kritikk at selskapet slettet denOrganisasjonen har tydeligvis sin egen måte å gjøre ting på, og vi er sikre på at dette ikke blir siste gang den skaper bestyrtelse i teknologibransjen.
