Leer van Oracle: Wat om nie te doen na 'n databreuk nie

Leer van Oracle: Wat om nie te doen na 'n data-oortreding nie

Deur Danny Bradbury • 27 Mei 2025

Die eerste helfte van hierdie jaar was nie 'n gelukkige een vir Oracle of sy kliënte nie. Die maatskappy het twee ernstige datalekke gely. Dit is op sy eie al genoeg probleem, maar die eintlike kwessie is hoe hulle die inbrake hanteer het.

Kenners het die databasisreus gekritiseer vir swak praktyke vir die openbaarmaking van oortredings, insluitend die versuim om te kommunikeer en die verdraaiing van die boodskap toe dit wel 'bekentenis' geneem het.

Oortreding Nommer Een

Die maatskappy se probleme het middel Februarie begin toe hulle uitgevind het dat aanvallers toegang tot data op bedieners by die elektroniese gesondheidsrekordmaatskappy Cerner verkry het. Cerner, wat Oracle in 28 vir $2022 miljard verkry het, het 'n deurlopende kontrak met die Amerikaanse Departement van Veterane Sake gehad. Oracle het ongeveer 'n maand nadat dit gebeur het, van die aanval te hore gekom.

A klas aksie regsgeding wat einde Maart teen Oracle aanhangig gemaak is, het die maatskappy gekritiseer vir die wanhantering van die voorval.

“Die gebrek aan kennisgewing vererger die omstandighede vir slagoffers van die data-oortreding,” lui die regsgeding, en kla dat hulle niemand van die voorval in kennis gestel het of vir hulle gesê het of hulle die bedreiging kon beheer nie. Hulle het ook nie verduidelik hoe die inbraak plaasgevind het nie.

Nog 'n Oortreding Treffers

Toe het 'n tweede oortreding aan die lig gekom. Op 21 Maart het die kuberveiligheidsmaatskappy CloudSEK ontdek 'n bedreigingsakteur genaamd 'rose87168' wat die data aanlyn verkoop.

Die data is gesteel van 140,000 11 betrokke wolkhuurders, volgens die geheimsinnige kriminele verskaffer, wat beweer het dat hulle die stelsel via 'n Oracle Cloud-aanmeldeindpunt binnegegaan het. CloudSEK het bevind dat hulle 'n instansie van Oracle Fusion Middleware 2014G, wat laas in XNUMX opgedateer is, uitgebuit het. Gestorte bates sluit in Java Key Store-lêers wat kriptografiese sertifikate bevat, tesame met geïnkripteerde enkel-aanmeldwagwoorde en sleutellêers.

Dis nogal ernstig vir kliënte, maar Oracle het blykbaar byna geen inligting vrygestel in die vroeë dae van die oortreding nie, behalwe om te beweer dat dit slegs ouer bedieners geraak het. Die maatskappy vertel Piepende Rekenaar: “Daar was geen oortreding van Oracle Cloud nie. Die gepubliseerde geloofsbriewe is nie vir die Oracle Cloud nie. Geen Oracle Cloud-kliënte het 'n oortreding ervaar of enige data verloor nie.”

Kenners het egter nie saamgestem nie. rose87168 het 'n steekproef van die data beskikbaar gestel aan Alon Gal, medestigter van die sekuriteitskonsultasiefirma Hudson Rock. Gal gekontak maatskappye op die lys om die data te verifieer. Die kliënte het gesê dat die lêers wat na bewering van Oracle Cloud afkomstig is, wettig was.

CloudSEK ook het 'n opvolgartikel gepubliseer om te bewys dat die eindpunt rose87168 oorgeneem het, 'n produksie-entiteit was.

Oracle het uiteindelik privaat met sommige kliënte gekontak en berig dat hul Gen 1-bedieners 'n sekuriteitsvoorval ondervind het. Gen 1-bedieners is ou masjiene wat nou die sogenaamde Oracle Cloud Classic bedien. Gen 2-bedieners, wat ekstra funksies bevat, word Oracle Cloud genoem.

Dit alles beteken dat as jy die bewoording van Oracle se ontkenning streng tot die letter volg, slegs Oracle Cloud Classic-bedieners gepla is, nie Oracle Cloud-bedieners nie. Maar ons vermoed dat die mark in die algemeen 'n volledige, oop bespreking oor wat gebeur het, sou verkies het eerder as om met 'n stywe verskaffer te doen te hê wat slegs die absolute minimum inligting bekend gemaak het.

Wie het die geargiveerde bladsy uitgevee?

Hier raak dinge veral deurmekaar. rose87168 het ook 'n tekslêer na die gekompromitteerde Oracle-eindpunt opgelaai en 'n skermkiekie daarvan gepubliseer as bewys dat hulle die bate beheer het. 'n Skermkiekie van die bewyse van die kompromie is gestoor op die Wayback Machine, 'n diens wat deur die Internet Archive aangebied word. Hierdie diens stoor kopieë van webwerwe vir die nageslag nadat hulle verdwyn het. Daardie geargiveerde bladsy was egter na bewering verwyder deur die Argief se uitsluitingsproses te gebruik.

“Dit is Oracle wat aktief bewyse van 'n inbraak toesmeer,” het sekuriteitsnavorser Jake Williams in sy plasing gesê wat die verwydering van X berig. “Dit is iemand wat die 1990's-oortredingsstrategieboeke in 2025 uitvoer.”

Ons kan nie bewys wie daardie bladsy verwyder het nie, maar die hele aangeleentheid is nietemin 'n uitstekende les in hoe om nie 'n data-oortreding te hanteer van 'n maatskappy wat vasbeslote is om sy handelsmerk te beskerm nie. wedrenne om sy aandeel te vergroot van die winsgewende wolkrekenaarbesigheid.

Hoe om dit reg te doen

So, hoe moet jy die openbaarmaking van oortredings hanteer? Raamwerke soos NIST se Rekenaarsekuriteitsvoorvalhanteringsgids en ISO 27001 het breë riglyne vir die kommunikasie van voorvalle. Sleutelpunte sluit in:

Kommunikeer stiptelik en akkuraat: Stel betrokke partye so gou as moontlik in kennis sodra 'n voorval bevestig is en die omvang daarvan verstaan word. Regulasies vereis nou dikwels ten minste aanvanklike verslae binne 'n beperkte tydsbestek, en dit word in baie gevalle verpligtend.

Koördineer jou reaksie: Hou kommunikasie feitegebaseerd en gekoördineerd sodat niemand iets openbaar wat nie bevestig is nie. Vir dié doel, verstaan vooraf wie met die verskillende belanghebbendes sal praat, insluitend kliënte, reguleerders, werknemers, kontrakteurs en die pers. Deur boodskappe deur hulle te kanaliseer, verseker jy dat almal die interne kommunikasieketting verstaan.

Weet wat om te kommunikeer: Alhoewel nie alles in die vroeë dae beskikbaar sal wees nie, behoort kennisgewings uiteindelik 'n opsomming in te sluit van wat gebeur het, tesame met watter data gekompromitteer is en watter stappe geneem word om die probleem te verminder en te voorkom dat dit weer gebeur. Geaffekteerde individue moet ook weet wat hulle moet doen om hulself te beskerm.

Moenie te min kommunikeer nie: Nie alle inligting sal onmiddellik uitkom nie, maar jy moet so reguit as moontlik wees en te goeder trou kommunikeer. Soos die FTC uitwys: “Moenie misleidende stellings oor die oortreding maak nie. En moenie belangrike besonderhede weerhou wat verbruikers kan help om hulself en hul inligting te beskerm nie.” Ons soek oop kommunikasie, nie namaaksels nie. Moenie dit as 'n teenstrydige proses beskou nie.

Definieer kommunikasiesjablone: Die ontwikkeling van vooraf goedgekeurde boodskapsjablone help om kommunikasie glad en konsekwent te hou. Die FTC het 'n voorbeeld.

Stem in lyn met reguleerders: Verskillende jurisdiksies (internasionaal, nasionaal en plaaslik) sal hul eie reëls hê oor hoe en wanneer om verskillende belanghebbendes in kennis te stel. So ook verskillende nywerhede. Werk saam met jou prokureurs om te verseker dat jy dit volg.

Bly aanspreeklik: Net soos in die alledaagse lewe, verwag volwassenes dat mekaar hul foute sal erken en regstel. Maak seker dat kliënte voldoende ondersteuning het. Dit kan effektiewe kommunikasie en spesifieke hulp rondom die herstel van oortredings insluit, bestaande uit gereedskap om jou te help beskerm. Dit is veelseggend dat CloudSEK, nie Oracle nie, 'n instrument vrygestel het vir maatskappye om te bepaal of hul data op die lys van gesteelde rekords was.

Dit is nie die enigste keer dat Oracle kritiek ontvang het vir sy benadering tot die hantering van kuberveiligheidskwessies nie. Dit sluit in trae reaksies tot berigte van sekuriteitsfoute in sy produkte en die CSO se tirade teen sekuriteitsnavorsers wat vir haar foutverslae stuur, wat soveel terugslag gekry het dat die maatskappy het dit uitgeveeDie organisasie het duidelik sy eie manier van dinge doen, en ons is seker dit sal nie die laaste keer wees dat dit ontsteltenis in die tegnologiebedryf veroorsaak nie.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 13 November 2025

assessering van die Trump-administrasie se verskuiwing in die Amerikaanse kuberveiligheidsbeleid banier

Evaluering van die Trump-administrasie se verskuiwing in die Amerikaanse kuberveiligheidsbeleid

Onlangse uitvoerende optrede en herstrukturering van agentskappe dui op 'n beduidende verandering in die federale kuberveiligheidsstrategie, wat vrae laat ontstaan oor nasionale ...

Danny Bradbury

cyber Security 23 Oktober 2025

waarom die ftc se kletsbot-ondersoek b2b-maatskappye moet bekommer

Waarom die FTC se Chatbot-ondersoek B2B-maatskappye moet bekommer

September was 'n keerpunt vir voorstanders van KI-etiek. Die FTC het Artikel 6(b)-bevele uitgereik aan sewe groot tegnologiemaatskappye wat kletsbotte vervaardig...

Danny Bradbury

cyber Security 7 Oktober 2025

Veilige Hawe-oorsig beteken sake soos gewoonlik – vir nou

September was 'n keerpuntmaand vir maatskappye in Europa wat data met die VSA wou deel. Die Algemene Hof van die Europese Unie het 'n beswaar verwerp...

Danny Bradbury