Oracle tenta esconder grave incidente de segurança em seu serviço SaaS

 (doublepulsar.com)
4 pontos por GN⁺ 2025-04-01 | 2 comentários | Compartilhar no WhatsApp
  • Ocorreu um grave incidente de cibersegurança em um serviço SaaS gerenciado pela Oracle, mas surgiram indícios de que a empresa tentou encobrir o caso sem informar os clientes
  • Provedores de serviços em nuvem devem fazer uma divulgação transparente obrigatória sobre incidentes de cibersegurança, mas a Oracle, ao contrário, negou que houve dano

Visão geral do caso e alegações do hacker

  • Em 21 de março de 2025, o hacker rose87168 alegou ter comprometido alguns serviços da Oracle em *.oraclecloud.com
  • A Oracle negou oficialmente de imediato, afirmando que “não houve violação da Oracle Cloud”, e explicou que as credenciais relacionadas não tinham relação com a Oracle Cloud
  • No entanto, o hacker forneceu links e materiais que comprovam que tinha permissão de escrita no servidor login.us2.oraclecloud.com
    • Esse servidor é baseado no Oracle Access Manager e é um sistema gerenciado diretamente pela Oracle

Evidências do vazamento e gravação de reunião interna

  • O hacker divulgou um arquivo de áudio de uma reunião interna da Oracle (com 2 horas de duração)
  • O hacker também divulgou materiais adicionais, incluindo arquivos de configuração do servidor web da Oracle e configurações de sistemas internos
    • Os dados vazados incluem dados reais, como endereços de e-mail de funcionários de empresas clientes

Resposta da Oracle e jogo de palavras

  • Enquanto sustenta que não houve problema nos serviços “Oracle Cloud”, a Oracle tenta contornar o escopo ao renomeá-los como serviço legado (Oracle Classic)
  • Isso é interpretado como uma manipulação de termos (wordsmithing) para encobrir a real extensão do dano
  • A empresa solicitou ao Archive.org a remoção de materiais comprobatórios, mas não removeu a segunda URL, que continua acessível

Reação da comunidade de segurança e resumo

  • Especialistas em segurança e a imprensa criticaram a resposta da Oracle
    • A Oracle opera serviços que lidam com dados de clientes, mas está se esquivando da responsabilidade de confiança e transparência
  • Os serviços afetados confirmados rodam em infraestrutura de nuvem operada diretamente pela Oracle
  • Isso não é apenas um problema técnico, mas também uma questão de responsabilidade corporativa e ética

Resumo principal

  • O hacker invadiu internamente serviços de nuvem da Oracle e vazou dados reais e informações de sistemas
  • A Oracle não reconheceu o caso e tentou reduzir o escopo do incidente por meio de manipulação de termos
  • Especialistas em segurança cobram da Oracle explicações claras e públicas, além de medidas de proteção aos clientes

Leituras relacionadas

2 comentários

 
jjpark78 2025-04-01

A Oracle sendo a Oracle de sempre
 
GN⁺ 2025-04-01
Comentários no Hacker News
  • Se você é cliente da Oracle, provavelmente isso não importa tanto. O motivo para ter escolhido a Oracle não foi um bom produto nem uma boa empresa, mas sim acordos informais da diretoria
  • Incidentes de segurança se tornaram comuns nos últimos anos. Se a Oracle tivesse admitido isso, teria sido esquecido em poucos dias. Mas o caso está se aprofundando cada vez mais
  • Se, em caso de incidente de segurança, não é fornecido nem o mínimo de informação, fica a dúvida de por que trabalhar com essa empresa. Fico me perguntando qual é o objetivo final da Oracle
  • Fico pensando se a Oracle tem certeza de que esse incidente não aconteceu, ou se simplesmente não há logs. Considero se isso não passa de uma mentira simples
  • Faz tempo que não vejo uma empresa negar algo com tanta veemência. Segundo a Ars Technica, um porta-voz da Oracle tentou fornecer uma declaração anonimamente, mas isso foi recusado
  • As leis estaduais exigem que os clientes sejam avisados em caso de violação de segurança, mas, como há pouca fiscalização, isso é ignorado. É necessária uma lei federal
  • Uso principalmente a AWS, mas um BDR da Oracle entrou em contato comigo pelo LinkedIn. Pedi o relatório do incidente, mas recebi apenas uma resposta curta dizendo que não houve violação na Oracle Cloud
  • Soma-se mais um caso aos escândalos de segurança de dados da Oracle de Larry Ellison. Isso combina com os outros escândalos políticos e sociais de Larry
  • A NetSuite indeniza os clientes em até 5 vezes o custo da licença de 12 meses caso eles sofram perdas
  • A era da pós-verdade é confusa. Mas isso parece ser o comportamento padrão da Oracle
  • Já passou da hora de a Oracle pedir perdão a seus clientes de longa data
  • É assustador que a Oracle consiga remover itens do Archive.org