« Aucun environnement client OCI n’a été pénétré », a insisté la société, mais le pirate dit le contraire.
Oracle a continué à minimiser une violation de données qu’il a subie plus tôt cette année, insistant dans un e-mail envoyé aux clients cette semaine que le hack n’impliquait pas sa plate-forme principale, Oracle Cloud Infrastructure (OCI).
Normalement, un déni comme celui-ci serait la fin de l’histoire, mais les circonstances de cette violation et la réponse déroutante d’Oracle au cours des dernières semaines ont laissé en question le récit de l’entreprise sur l’incident.
Le courrier électronique de cette semaine, transmis à cette publication par Oracle, a affirmé que l’incident impliquait des «deux serveurs obsolètes» sans lien avec l’OCI ou tout environnement cloud client.
« Oracle souhaite indiquer sans équivoque que l’Oracle Cloud – également connu sous le nom d’Oracle Cloud Infrastructure ou OCI – n’a pas connu de violation de sécurité », a déclaré la lettre.
« Aucun environnement client OCI n’a été pénétré. Aucune donnée client OCI n’a été visionnée ou volée. Aucun service OCI n’a été interrompu ou compromis de quelque manière que ce soit », a-t-il poursuivi.
Aucun mot de passe utilisable n’a été exposé car ceux-ci ont été «cryptés et / ou hachés».
« Par conséquent, le pirate n’a pas pu accéder à des environnements clients ou à des données clients », a conclu l’e-mail.
Calendrier de violation
Mais si les «deux serveurs obsolètes» ne faisaient pas partie du système OCI, de quoi faisaient-ils partie? Et que les données du client le cas échéant ont-elles accédé le pirate? À ce stade, les opinions des chercheurs en sécurité et les contre-assertions d’Oracle commencent à diverger.
Le fait qu’une violation d’une sorte s’est produite a été rendue publique pour la première fois en mars, lorsqu’un pirate utilisant le surnom « Rose87168 » a publié sur un forum de violation de leur vol de six millions de signes de signe (SSO) et de protocole d’accès au répertoire léger (LDAP), entre autres données sensibles, prétendument volées de la plate-forme cloud Oracle.
Si c’est vrai, ce serait un gros problème; Les informations d’identification SSO et LDAP, même en cas de hachage de manière compétente, ne sont pas quelque chose qu’un fournisseur de cloud ou un client voudrait être entre les mains d’un tiers.
Le pirate a déclaré à Bleeping Computer qu’ils avaient eu accès au système Oracle en février, après quoi ils avaient tenté (et échoué) d’extorquer le paiement d’Oracle en échange de ne pas publier les données.
Mais même si les hachages sont restés sécurisés, d’autres données sensibles pourraient être utilisées pour monter des attaques ciblées, a noté la société de sécurité Trustwave:
« L’ensemble de données comprend PII, tels que les noms de premier et de famille, les noms d’affichage complets, les adresses e-mail, les titres d’emploi, les numéros de département, les numéros de téléphone, les numéros de mobile et même les coordonnées à domicile », a écrit les chercheurs de Trustwave, soulignant que les conséquences d’une telle violation pourraient être coûteuses.
«Pour les organisations touchées, une fuite comme celle-ci pourrait entraîner des violations de violation de données, des pénalités réglementaires, des dommages de réputation, des perturbations opérationnelles et une érosion à long terme de la confiance des clients», ont-ils écrit.
Oracle a par la suite nié la demande de violation, indiquant aux médias: «Les informations d’identification publiées ne sont pas pour le cloud Oracle. Aucun client d’Oracle Cloud n’a connu une violation ou n’a perdu aucune donnée.»
Début avril, l’entreprise a légèrement changé de Tack, admettant qu’elle avait été violée, mais insistant sur le fait que les données avaient été tirées d’un «environnement hérité» (AKA Oracle Classic) datant de 2017. Cette histoire a affirmé qu’Oracle avait commencé à contacter les clients, mentionnant que le FBI et la Crowdstrike enquêtaient sur l’incident.
Cet incident s’ajoutait à une violation de données distincte – décrite comme un «événement de cybersécurité» – affectant la filiale des soins de santé d’Oracle, Oracle Health.
Des doutes émergent
Jusqu’à présent, tout va bien concernant les refus d’Oracle, sauf que le pirate a partagé des données montrant leur accès à Login.us2.oraclecloud.com, un service qui fait partie de l’Oracle Access Manager, le système IAM de la société utilisé pour contrôler l’accès aux systèmes hébergés par Oracle.
Il est également apparu que certaines des données divulguées semblaient être à partir de 2024 ou 2025, jetant un doute sur l’affirmation d’Oracle selon laquelle elle était ancienne.
Alors, la plate-forme OCI principale d’Oracle a-t-elle été violée ou non? Tout le monde n’est pas convaincu par les déni plats de l’entreprise. Selon le chercheur de sécurité éminent Kevin Beaumont, la société «« a «des mots de mots» la différence entre les serveurs Oracle Classic qu’il admet avoir été violés, et les serveurs OCI, qui, selon eux, ne le maintient pas.
« Oracle Rebadged Old Old Cloud Services à être Oracle Classic. Oracle Classic a l’incident de sécurité », a noté Beaumont dans une dissection de l’incident et de la réponse d’Oracle sur Medium.
«Oracle nie qu’il se trouve sur« Oracle Cloud »en utilisant cette portée – mais ce sont toujours Oracle Cloud Services, qu’Oracle gère. Cela fait partie du jeu de mots.» Oracle avait également discrètement contacté plusieurs clients pour confirmer une sorte de violation, a-t-il déclaré.
Cela laisse les parties intéressées avec le sentiment insatisfaisant que quelque chose de fâcheux s’est produit, sans qu’il soit clair quoi.
Pour l’instant, Oracle s’en tient à ses pistolets que sa plate-forme OCI principale n’est pas impliquée, mais peut-être que la confusion aurait pu être évité avec une meilleure communication.
Souffrir une violation est extrêmement difficile pour toute organisation, mais elle pâlit parfois les problèmes de communication avec les clients, les journalistes et l’armée de chercheurs intéressés prêts à choisir toutes les ambiguïtés. Des semaines après la violation devenant publiques, ces ambiguïtés n’ont pas encore été pleinement éliminées.
