Teknoloji devi Oracle, hem Cloud hem de Health'e yönelik ortaya çıkan iki veri ihlalini yönelik iletişim stratejisizliği nedeniyle eleştirilerin odağında yer alıyor.
Şirket tarafından Oracle Cloud'a yönelik ortaya çıkan veri ihlali reddetildi ancak ayrıntılı ve herkesi ikna edebilecek tam kapsamlı bir açıklama maalesef yayınlanmadı. Diğer bir veri ihlali de teknoloji devinin sağlık yan kuruluşu Oracle Health'in hasta verilerinin sızdırılması oldu.
Oracle Cloud veri ihlali: İhlal, şirket tarafından reddediliyor!
20 Mart 2025 tarihinde, popüler hacker forumlarından biri olan Breachforums'da 'rose87168' adlı bir kullanıcı, Oracle'ın geleneksel oturum açma sunucularından elde edildiğini iddia ederek, 140 bin şirkete ait 6 milyon veri kaydını yayınlayarak satışa çıkardı.
Satışa çıkarılan veriler arasında Java KeyStore (JKS) dosyaları, şifrelenmiş SSO ve LDAP kimlik bilgileri, OAuth2 erişim anahtarları, Enterprise Manager JPS anahtarları, yapılandırma dosyaları ve etkilenen şirketlere ait liste yer aldı.
İhlalin ortaya çıkmasından bir gün sonra şirket tarafından Bleeping Computer'a verilen demeçte, ortaya çıkan veri ihlali kesin bir şekilde reddetildi. Ancak CloudSEK , Orca Security ve Hudson Rock tarafından devam eden günlerde yeni kanıtlarla birlikte gerçekleştirilen analizler bu durumun tam tersinin olduğunu gösteriyor.
Bu noktada CloudSEK araştırmacıları, eldeki bilgiler ve ilk analizlerinden sonra tehdit aktörünün ilk erişimi elde etmek için Oracle'ın bulut ortamındaki açıklanmamış bir güvenlik açığını istismar edebileceğini ilk başta düşündüler. Ancak, tehdit aktörü bulut ortamını ihlal etmek için daha önce ortaya çıkmış bir güvenlik açığını kullanarak bu işlemi gerçekleştirdiğini belirtti.
Bu noktada araştırmacılar, tehdit aktörü tarafından verilen bu bilgiyi bir anlığına da olsa gerçek kabul ettiğinde, yaklaşık 4 yıl önce Oracle Access Manager'da ortaya çıkan ve güvenlik yaması yayınlanmış olan CVE-2021-35587'e yöneldiler. Ancak, Oracle tarafından net bir bilgi paylaşılmadığı içinde bu kısım sadece ihtimal olarak değerlendiriliyor.
Bleeping Computer, Hudson Rock ve siber güvenlik araştırmacısı Kevin Beaumont'a ulaşan bazı Oracle müşterileri anonimlik vaadiyle veri ihlallerini doğruladılar. Bunlardan ayrı olarak CloudSEK, şirketlerin hacker formunda yayınlanan listede yer alıp-almadıklarını öğrenebilmeleri için bir doğrulama mekanizması duyurdu.
Tehdit aktörü tarafından Oracle Cloud'a erişildiğine dair bağlantının yer aldığı Archive.org'daki kanıtlar, Oracle tarafından kaldırıldı. Ek olarak, tehdit aktörü tarafından Oracle çalışanlarının iki saat boyunca konuştuğu bir Oracle dahili toplantısının birkaç saatlik kaydı paylaşıldı ve bu kayıt Hudson Rock tarafından Youtube sayfasında yayınlandı.
"rose87168" adlı kullanıcı şu an için X üzerinde aktif olarak paylaşımlarına devam ediyor ve son gönderisinde Oracle'in Texas'da dava edildiğine dair bir paylaşım yaptı.
oracle is being sued in Texashttps://t.co/tGUweHlcVY
— rose87168 (@rose87168) April 1, 2025
Task failed successfully @OracleCloud
Oracle Health veri ihlali
Oracle'ın 2022'de 28 milyar dolara satın aldığı elektronik sağlık kayıtları şirketi Cerner ile birleştirilen bir birimi olan Oracle Health'a yönelik veri ihlali geçen hafta duyuruldu.
Bleeping Computer tarafından paylaşılan bilgilere göre Oracle Health tarafından müşterilerine gönderilen bir bildirimde, "20 Şubat 2025 civarında, henüz Oracle Cloud'a taşınmamış eski bir miras sunucuda bulunan Cerner verilerinizin bir kısmına yetkisiz erişimle ilgili bir siber güvenlik olayının farkına vardığımızı bildirmek için yazıyoruz" ifadeleri yer alıyor.
Oracle, tehdit aktörünün 22 Ocak 2025'ten sonra bir ara sunucuları ihlal etmek için tehlikeye atılmış müşteri kimlik bilgilerini kullandığını ve verileri uzak bir sunucuya kopyaladığını söylüyor. Çalınan bu veriler "elektronik sağlık kayıtlarından hasta bilgilerini" içermiş olabilir.
Bleeping Computer'a ulaşan bazı kaynaklara göre bir tehdit aktörü, çalınan verilerin sızdırılmasını veya satışını önlemeleri için hastahanelerden milyonlarca dolar değerinde kripto para talep ediyor.
Oracle Cloud ihlalinde olduğu gibi şirketin bu ihlalde de iletişim stratejisizliği nedeniyle eleştirilerin odağında yer alıyor.
