Oracle bestätigt Cloud-Sicherheitsverletzung nach anfänglichem Dementi – Hacker-Behauptungen, Datenlecks und stille Warnungen sorgen für Stirnrunzeln
In einer Wendung der Ereignisse, die ernsthafte Fragen zu Transparenz und Cloud-Sicherheit aufwirft, ist es Berichten zufolge zu einem erheblichen Datenleck in der Cloud-Infrastruktur von Oracle gekommen – trotz früherer Dementis. Der Technologieriese hat seitdem begonnen, betroffene Kunden stillschweigend zu warnen, spielt Umfang und Schwere des Angriffs jedoch weiterhin herunter.
Der Datendiebstahl wurde erstmals bekannt, als ein Hacker unter dem Pseudonym rose87168 angeblich sensible Daten aus der Oracle Cloud preisgab, die über 140.000 Mandanten betrafen. Zu diesen Daten gehörten angeblich verschlüsselte Anmeldeinformationen, Benutzernamen und andere wichtige Kundeninformationen. Der Angreifer forderte zunächst ein Lösegeld von 20 Millionen US-Dollar von Oracle, bot die gestohlenen Daten jedoch nach ausbleibender Zahlung zum Verkauf oder Tausch gegen Zero-Day-Exploits an.
Trotz dieser Vorwürfe war Oracles erste Reaktion kategorisch: „Es gab keinen Datendiebstahl in der Oracle Cloud. Die veröffentlichten Zugangsdaten beziehen sich nicht auf die Oracle Cloud. Kein Oracle Cloud-Kunde hatte einen Datendiebstahl oder Datenverlust.“ Diese Aussage wird nun jedoch durch zunehmende Beweise und unabhängige Bestätigungen von Sicherheitsexperten und Kunden in Frage gestellt.
Inhaltsverzeichnis
Hacker-Beweise widersprechen Oracles Dementis
Laut SecurityWeek hat der Hacker mehrere Beweismittel vorgelegt, darunter eine Stichprobe von 10.000 Kundendaten, ein Video, das offenbar ein internes Oracle-Meeting zeigt, und eine Datei, die den Zugriff auf die Cloud-Systeme von Oracle belegt. Einige der durchgesickerten Anmeldeinformationen stammen Berichten zufolge aus dem Jahr 2024. Dies widerspricht der von Bloomberg berichteten Behauptung von Oracle, die betroffene Umgebung sei seit über acht Jahren nicht mehr genutzt worden.
Sicherheitsforscher Kevin Beaumont vermutet, dass Oracle vage Begriffe wie „Gen 1“ verwendet, um die Wahrheit zu verschleiern. Er wies darauf hin, dass Oracle Classic, das wahrscheinlich unter diese Bezeichnung fällt, weiterhin Teil der Cloud-Infrastruktur des Unternehmens ist. Diese semantische Interpretation erlaube es Oracle, einen Angriff auf die „Oracle Cloud“ technisch zu leugnen, selbst wenn die Daten aus älteren Cloud-Systemen stammten.
Beaumont gab außerdem bekannt, dass Oracle keine schriftlichen Benachrichtigungen an die Kunden verschickt habe. Stattdessen seien die Warnungen Berichten zufolge nur mündlich erfolgt – was die Bedenken hinsichtlich der Transparenz des Unternehmens weiter aufwirft.
Malware, Java-Exploit und langfristiger Zugriff
CyberAngel zitierte eine anonyme Quelle, die behauptet, der Angriff sei auf eine Java-Sicherheitslücke aus dem Jahr 2020 zurückzuführen, die es Angreifern ermöglichte, Malware und eine Web-Shell auf Oracle-Systemen zu installieren. Die Malware zielte Berichten zufolge auf die Identity-Management-Datenbank von Oracle ab, und der Zugriff könnte bereits im Januar 2025 begonnen haben. Oracle wurde angeblich Ende Februar, etwa zu dem Zeitpunkt der Lösegeldforderung, auf das Problem aufmerksam.
Laut dieser Quelle war nur die Cloud-Infrastruktur der „Gen 1“ betroffen – insbesondere Server der älteren Oracle Classic-Umgebung –, während modernere Server der „Gen 2“ unberührt blieben. Die kompromittierten Daten, die Berichten zufolge mindestens 16 Monate alt sind, scheinen jedoch mit realen Produktionsumgebungen und echten Kundenkonten verknüpft zu sein.
Oracle-Gesundheitsverletzung verschärft die Folgen
Da Oracle weiterhin nur begrenzte öffentliche Stellungnahmen veröffentlicht, sind auch Berichte über einen separaten Datendiebstahl in Oracle Health-Systemen aufgetaucht. Die gleichzeitige Offenlegung von Kunden- und Patientendaten aus verschiedenen Oracle-Systemen hat bei Cybersicherheitsexperten und Aufsichtsbehörden gleichermaßen große Besorgnis ausgelöst.
Oracles Umgang mit dem Cloud-Sicherheitsvorfall – von anfänglichen Dementis bis hin zur eingeschränkten Kundenansprache – hat in der gesamten Sicherheitsbranche Kritik hervorgerufen. Während Ermittler des FBI und von CrowdStrike den Fall untersuchen, fordern viele mehr Transparenz von Oracle, um betroffenen Unternehmen zu helfen, Risiken einzuschätzen und die notwendigen Schutzmaßnahmen zu ergreifen.