Lärdomar från Oracle: Vad man inte ska göra efter ett dataintrång

By Danny Bradbury • 27 maj 2025 • 6 minuters läsning

Första halvåret i år har inte varit lyckligt för Oracle eller dess kunder. Företaget har drabbats av två allvarliga dataintrång. Detta är problem nog i sig, men den verkliga frågan är hur de har hanterat intrången.

Experter har kritiserat databasjätten för dålig praxis vid avslöjande av intrång, inklusive att inte kommunicera och förvränga budskapet när den väl "erkände sig".

Brott nummer ett

Företagets problem började i mitten av februari när de fick veta att angripare hade kommit åt data på servrar hos företaget Cerner, som tillverkar elektroniska patientjournaler. Cerner, som Oracle förvärvade för 28 miljarder dollar 2022, hade ett pågående kontrakt med det amerikanska veterandepartementet. Oracle fick kännedom om attacken ungefär en månad efter att den inträffade.

A klagomål som lämnades in mot Oracle i slutet av mars tillrättavisade företaget för att ha misskött händelsen.

”Avsaknaden av anmälan förvärrar omständigheterna för offren för dataintrånget”, stod det i stämningsansökan, som klagade på att man inte hade informerat någon om händelsen eller informerat dem om huruvida man hade kunnat begränsa hotet. Inte heller förklarades hur intrånget inträffade.

Ännu ett intrång träffar

Sedan uppdagades ett andra intrång. Den 21 mars uppdagade cybersäkerhetsföretaget CloudSEK upptäckt en hotaktör vid namn 'rose87168' som säljer informationen online.

Informationen stals från 140,000 11 drabbade molnanvändare, enligt deras hemliga kriminella leverantör, som påstod sig ha kommit in i systemet via en Oracle Cloud-inloggningsslutpunkt. CloudSEK upptäckte att de utnyttjade en instans av Oracle Fusion Middleware 2014G, som senast uppdaterades XNUMX. Dumpade tillgångar inkluderar Java Key Store-filer som innehåller kryptografiska certifikat, tillsammans med krypterade lösenord för enkel inloggning och nyckelfiler.

Det är ganska allvarligt för kunderna, men Oracle släppte tydligen nästan ingen information i början av intrånget, förutom att hävda att det bara påverkade äldre servrar. Företaget berättade Pipande dator: ”Det har inte förekommit något intrång i Oracle Cloud. De publicerade inloggningsuppgifterna gäller inte för Oracle Cloud. Inga Oracle Cloud-kunder har upplevt ett intrång eller förlorat några data.”

Experterna var dock oense. rose87168 gjorde ett urval av informationen tillgängligt för Alon Gal, medgrundare av säkerhetskonsultföretaget Hudson Rock. Gal kontaktade företag på listan för att verifiera informationen. Kunderna sa att filerna som sades komma från Oracle Cloud var legitima.

CloudSEK också publicerade en uppföljningsartikel att bevisa att slutpunkten rose87168 tog över var en produktionsenhet.

Oracle kontaktade så småningom några kunder privat och rapporterade att deras Gen 1-servrar hade drabbats av en säkerhetsincident. Gen 1-servrar är gamla maskiner som nu hanterar det som kallas Oracle Cloud Classic. Gen 2-servrar, som innehåller extra funktioner, kallas Oracle Cloud.

Allt detta innebär att om man strikt följer formuleringarna i Oracles förnekelse till punkt och pricka, så var det bara Oracle Cloud Classic-servrar som blev pwnade, inte Oracle Cloud-servrar. Men vi misstänker att marknaden i allmänhet hade föredragit en fullständig, öppen diskussion om vad som hade hänt snarare än att ha att göra med en tystlåten leverantör som bara avslöjade minimal information.

Vem raderade den arkiverade sidan?

Det är här det blir extra krångligt. rose87168 hade också laddat upp en textfil till den komprometterade Oracle-slutpunkten och publicerat en skärmdump av den som bevis på att de kontrollerade tillgången. En ögonblicksbild av bevisen på komprometteringen lagrades på Wayback Machine, en tjänst som drivs av Internet Archive. Denna tjänst lagrar kopior av webbplatser för eftervärlden efter att de försvunnit. Den arkiverade sidan var dock påstås ha... avlägsnas med hjälp av arkivets uteslutningsprocess.

”Det här är Oracle som aktivt mörklägger bevis på ett intrång”, sa säkerhetsforskaren Jake Williams i sitt inlägg som rapporterade om nedtagningen av X. ”Det här är någon som kör 1990-talets intrångsstrategier år 2025.”

Vi kan inte bevisa vem som tog ner den sidan, men hela affären är ändå en utmärkt läxa i hur man inte hanterar ett dataintrång från ett företag som är fast beslutet att skydda sitt varumärke. tävlingar för att öka sin andel av den lukrativa molntjänstverksamheten.

Hur man gör det rätt

Så, hur ska man hantera rapportering av intrång? Ramverk som NIST:s guide till hantering av datorsäkerhetsincidenter och ISO 27001 har allmänna riktlinjer för att kommunicera incidenter. Viktiga punkter inkluderar:

Kommunicera snabbt och korrekt: Meddela berörda parter så snart som möjligt när en incident har bekräftats och dess omfattning är förstådd. Regelverk kräver nu ofta åtminstone inledande rapporter inom ett snävt tidsfönster, och det blir obligatoriskt i många fall.

Samordna ditt svar: Håll kommunikationen faktabaserad och samordnad så att ingen avslöjar något som inte har bekräftats. För detta ändamål, förstå i förväg vilka som kommer att prata med de olika intressenterna, inklusive kunder, tillsynsmyndigheter, anställda, entreprenörer och pressen. Att kanalisera budskapet genom dem säkerställer att alla förstår den interna kommunikationskedjan.

Vet vad du ska kommunicera: Även om allt inte kommer att vara tillgängligt i början, bör aviseringarna så småningom innehålla en sammanfattning av vad som hände, tillsammans med vilka data som komprometterats och vilka åtgärder som vidtas för att mildra problemet och förhindra att det händer igen. Berörda individer bör också veta vad de ska göra för att skydda sig själva.

Kommunicera inte för lite: All information kommer inte ut omedelbart, men du bör vara så rättfram som möjligt och kommunicera i god tro. Som FTC påpekar: ”Gör inte vilseledande uttalanden om dataintrånget. Och undanhåll inte viktiga detaljer som kan hjälpa konsumenterna att skydda sig själva och sin information.” Vi söker öppen kommunikation, inte spinn. Behandla inte detta som en kontradiktorisk process.

Definiera kommunikationsmallar: Att utveckla förhandsgodkända meddelandemallar hjälper till att hålla kommunikationen smidig och konsekvent. FTC har ett exempel.

Anpassa dig till tillsynsmyndigheter: Olika jurisdiktioner (både internationella, nationella och lokala) har sina egna regler för hur och när man ska meddela olika intressenter. Detsamma gäller olika branscher. Samarbeta med dina jurister för att säkerställa att du följer dem.

Håll dig ansvarig: Precis som i vardagen förväntar sig vuxna att varandra ska ta ansvar för sina misstag och rätta till dem. Se till att kunderna har tillräckligt stöd. Detta kan inkludera effektiv kommunikation och specifik hjälp kring åtgärdande av intrång, bestående av verktyg som hjälper till att skydda dig. Det är talande att CloudSEK, inte Oracle, släppte ett verktyg för företag att avgöra om deras data fanns på listan över stulna poster.

Det här är inte enda gången som Oracle har fått kritik för sitt sätt att hantera cybersäkerhetsproblem. Dessa inkluderar tröga svar till rapporter om säkerhetsbrister i dess produkter och CSO:s utbrott mot säkerhetsforskare som skickade henne felrapporter, vilket fick så mycket kritik att företaget raderade denOrganisationen har helt klart sitt eget sätt att göra saker på, och vi är säkra på att det här inte blir sista gången den orsakar bestörtning i teknikbranschen.