Od kilku dni w środowisku cyberbezpieczeństwa wrze. Wszystko za sprawą domniemanego ataku na serwery Oracle Cloud, o którym pierwszy raz poinformował anonimowy cyberprzestępca posługujący się pseudonimem „rose87168”. Choć Oracle oficjalnie zaprzecza jakimkolwiek naruszeniom bezpieczeństwa, fakty i reakcje klientów firmy rzucają na tę sprawę nowe światło. Wszystko zaczęło się od wpisu, w którym cyberprzestępca twierdził, że uzyskał dostęp do poufnych danych aż 6 milionów użytkowników. Miał przy tym pozyskać zaszyfrowane hasła, dane logowania SSO i LDAP oraz listę ponad 140 tysięcy domen firmowych i instytucji rządowych, które miały zostać dotknięte skutkami incydentu. Opublikowane próbki danych trafiły do BleepingComputer, które nie tylko zweryfikowało ich istnienie, ale także potwierdziło ich autentyczność u części firm, których dane znalazły się w wycieku.
Dane potwierdzone przez poszkodowanych
To właśnie reakcje tych firm, które zdecydowały się anonimowo potwierdzić, że dane są prawdziwe i należą do nich, podważają stanowisko Oracle. Adresy e-mail, identyfikatory LDAP i inne szczegóły odpowiadają realnym użytkownikom. Tymczasem Oracle wciąż utrzymuje, że "nie doszło do naruszenia bezpieczeństwa Oracle Cloud", a opublikowane dane „nie dotyczą chmury Oracle Cloud”. Jednak działania cyberprzestępcy wydają się wskazywać na coś innego. W jednym z plików tekstowych, opublikowanych w serwisie Archive.org, znajdował się adres e-mail napastnika, co sugeruje, że mógł on stworzyć ten plik bezpośrednio na serwerze Oracle. To rodzi pytania o realny dostęp do infrastruktury chmurowej firmy. Do sieci trafiła także korespondencja e-mailowa, która miała mieć miejsce pomiędzy napastnikiem a Oracle. W jednym z maili skierowanym do działu bezpieczeństwa Oracle, cyberprzestępca przyznał, że dzięki luce w zabezpieczeniach zdobył dostęp do informacji o milionach użytkowników. Twierdził, że chodzi o poważną dziurę w architekturze pulpitu nawigacyjnego chmury, która umożliwiła pełne naruszenie danych. W kolejnej wymianie wiadomości, tym razem z osobą podającą się za przedstawiciela Oracle i używającą adresu e-mail w domenie ProtonMail, cyberprzestępca został poproszony o kontynuację komunikacji z tego właśnie adresu. Choć tożsamości tej osoby nie udało się zweryfikować, treść wiadomości sugeruje próbę wyciszenia sprawy lub przeniesienia rozmowy poza oficjalne kanały.
Stara luka, nowy problem
Dodatkowego kontekstu całej sytuacji dostarcza analiza przeprowadzona przez Cloudsek — firmę zajmującą się cyberbezpieczeństwem. Specjaliści tej firmy odnaleźli archiwalny adres URL wskazujący, że jeszcze w lutym 2025 roku na jednym z serwerów Oracle działało oprogramowanie Oracle Fusion Middleware 11g. To właśnie ta wersja była podatna na lukę oznaczoną jako CVE-2021-35587, umożliwiającą nieautoryzowanym użytkownikom naruszenie zabezpieczeń Oracle Access Managera. Zgodnie z relacją cyberprzestępcy, to właśnie ten wektor ataku miał zostać wykorzystany. Choć Oracle nie tylko zaprzeczyło incydentowi, ale również wyłączyło wskazany serwer, trudno nie zauważyć rozbieżności między oficjalnym komunikatem firmy a rosnącą liczbą dowodów wskazujących na coś odwrotnego. Gdy firmy zaczynają potwierdzać autentyczność danych, które nie powinny były trafić w niepowołane ręce, trudno przejść obojętnie obok pytania: czy rzeczywiście mamy do czynienia z brakiem incydentu, czy raczej z próbą jego zatuszowania? Jedno jest pewne — sprawa jeszcze się nie zakończyła.
