Основы Интернет - технологий.

По данным СМИ, компания Oracle в частном порядке уведомила некоторых клиентов, что злоумышленники похитили их старые учетные данные после взлома «устаревшей среды», которая в последний раз использовалась в 2017 году. Взлом Oracle Cloud Classic Напомним, что в конце марта 2025 года злоумышленник под ником rose87168 опубликовал на хакерском форуме BreachForums данные, якобы похищенные из Oracle Cloud. Хакер писал, что готов продать данные или обменять их на 0-day эксплоиты, а также предложил поделиться частью информации с теми, кто поможет ему расшифровать пароли SSO или взломать пароли LDAP. Свои заявления rose87168 подкрепил публикацией нескольких текстовых файлов с образцами данных из БД и информацией LDAP, а также списка из 140 621 домена, которые принадлежат компаниям, якобы пострадавшим от этой утечки. По словам хакера, данные были украдены во время взлома серверов login.(название-региона).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), файлы ключей и ключи JPS для менеджера предприятия. Тогда представители Oracle заявили СМИ, что никакого взлома не было. «Взлома Oracle Cloud не было. Опубликованные учетные данные не связаны с Oracle Cloud. Ни один из клиентов Oracle Cloud не пострадал от кибератаки или утечки данных», — утверждали в компании. Однако через несколько дней злоумышленник предоставил СМИ дополнительные образцы украденных данных, после чего журналисты связались с фигурирующими в файлах компаниями, и там взлом подтвердили. Представители компаний, согласившиеся проверить данные на условиях анонимности, подтвердили подлинность информации rose87168. В компаниях заявили, что связанные с LDAP имена, адреса электронной почты и другая информация верны и действительно принадлежат им. Тогда в Oracle отказались дополнительно комментировать ситуацию. Как теперь сообщает издание Bloomberg, Oracle в частном порядке уведомляет своих клиентов о том, что у них похитили только старые данные, которые не являются конфиденциальными. Также компания сообщила клиентам, что расследованием инцидента уже занимаются специалисты из ИБ-компании CrowdStrike и представители ФБР. При этом журналисты издания Bleeping Computer отмечают, что стоящий за этой атакой злоумышленник поделился с ними данными, датированными концом 2024 года, а также опубликовал на хакерском форуме более новые записи, датированные 2025 годом. Кроме того, как выяснили специалисты ИБ-компании CybelAngel, злоумышленник получил доступ к серверам Oracle Gen 1 (они же Oracle Cloud Classic) в январе 2025 года. По данным исследователей, хакер использовал эксплоит для уязвимости 2020 года в Java, что позволило ему развернуть веб-шелл и дополнительное вредоносное ПО. В ходе этой атаки хакер предположительно похитил данные из БД Oracle Identity Manager (IDM), включая электронную почту пользователей, хешированные пароли и имена пользователей. При этом прошлые заявления Oracle все же нельзя назвать ложью. Дело в том, что в компании последовательно отрицают факт взлома Oracle Cloud, и это правда, поскольку компрометация затронула более старую платформу — Oracle Cloud Classic. «Oracle переименовала старые сервисы Oracle Cloud в Oracle Classic. Инцидент произошел в Oracle Classic, — комментирует известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont). — Oracle отрицает, что произошедшее связано с Oracle Cloud, но это все равно облачные сервисы Oracle, которыми управляет Oracle. Это просто игра словами». Взлом Oracle Health Следует отметить, что на прошлой неделе у Oracle произошел еще один инцидент, не связанный с описанным выше: компания уведомила клиентов о взломе SaaS-решения Oracle Health (ранее Cerner), который затронул множество американских медицинских организаций и больниц. Хотя компания не сообщала об этом инциденте публично, журналисты Bleeping Computer подтвердили, что в результате атаки были похищены данные пациентов. В частности, в распоряжении редакции оказались сообщения, которыми представители Oracle Health обменивались с пострадавшими клиентами. Представители Oracle Health писали, что еще в феврале 2025 года они выявили взлом серверов миграции данных Cerner. По данным компании, для атаки злоумышленники использовали скомпрометированные учетные данные клиентов и взломали миграционные серверы примерно 22 января 2025 года. В настоящее время у пострадавших медицинских учреждений пытается вымогать выкуп некий «Эндрю», который не заявлял о своей причастности к каким-либо вымогательским хак-группам. Злоумышленник требует миллионы долларов в криптовалюте, а в противном случае угрожает слить похищенные данные в сеть или продать их.