“rose87168” olarak tanımlanan bir tehdit aktörü, Oracle’ın bulut altyapısındaki bir güvenlik açığını istismar ettiğini, yaklaşık 6 milyon kayda eriştiğini ve bunları sızdırdığını iddia ediyor. Bu kayıtların, tek oturum açma (SSO) kimlik bilgileri, Hafif Dizin Erişim Protokolü (LDAP) parolaları, OAuth2 anahtarları ve kiracı bilgileri gibi hassas verileri içerdiği ve potansiyel olarak 140.000’den fazla kullanıcı firmayı etkilediği bildiriliyor.
Bu iddialara rağmen Oracle, bulut sistemlerinde herhangi bir ihlal olmadığını reddediyor ve “Oracle Cloud’da herhangi bir ihlal yaşanmadı” diyor. Yayımlanan kimlik bilgilerinin Oracle Cloud ile ilişkili olmadığını ve hiçbir müşterinin veri kaybı yaşamadığını iddia ediyor.
Ancak bazı siber güvenlik firmaları ve araştırmacılar ihlal iddialarını destekleyen kanıtlar sundular. Örneğin, CloudSEK, bilgisayar korsanının Oracle Cloud’un oturum açma uç noktasındaki bir güvenlik açığını başarıyla kullandığını bildirdi ve bilgisayar korsanının iddiasını destekleyen ek kanıtlar sağladı.
Zaman Çizelgesi
İddiaya göre Oracle Cloud ihlalinin Mart 2025 ortası veya sonu civarında gerçekleştiği bildirildi.
- 19-20 Mart 2025: “rose87168” adlı bir tehdit aktörü, yeraltı forumlarında Oracle Cloud’un dahili sistemlerine erişim sağladığını ve hassas kimlik bilgilerini sızdırdığını iddia ederek gönderiler yayınlamaya başladı.
- 21-23 Mart 2025: Siber güvenlik araştırmacıları (örneğin CloudSEK ve diğer firmalardan) sızdırılan verilerin bir kısmını doğruladı; bunlara OAuth2 belirteçleri, LDAP parolaları ve kiracı kimlik bilgileri de dahil.
- 23-24 Mart 2025: Medya kapsamı arttı (örneğin Cybersecurity Dive, The Register) ve Oracle altyapısında herhangi bir ihlal olduğunu resmen reddetti.
Dolayısıyla kamuoyuna duyurulması 20-21 Mart civarında başlamış olsa da, ihlalin (eğer gerçekse) günler veya haftalar önce gerçekleşmiş olması ve yakın zamanda keşfedilmiş veya açıklanmış olması mümkün.
Çelişkili raporlar göz önüne alındığında, Oracle Cloud müşterilerinin dikkatli olmaları öneriliyor. Önerilen eylemler arasında, özellikle ayrıcalıklı hesaplar için parolaları sıfırlamak ve çok faktörlü kimlik doğrulama (MFA) ile güçlü parola politikalarını uygulamak yer alıyor.
Oracle neden reddediyor
Oracle, ihlali birkaç stratejik ve teknik nedenden dolayı reddediyor. Öncelikle Yasal ve Finansal Sorumluluk nedeniyle. Çünkü Oracle bir ihlali onaylarsa, düzenleyici soruşturmaları tetikleyebilir (GDPR, CCPA, vb.). Bunun anlamı da, büyük para cezaları, müşterilerden davalar veya sözleşme ihlali olacaktır. Ayrıca hisse senedi fiyatı ve kurumsal güven muhtemelen bir darbe alacak. Buna karşılık reddederek zaman kazanıyorlar.
Oracle, sızdırılan kimlik bilgilerinin Oracle Cloud’un kendisinden değil, şunlardan kaynaklandığını iddia ediyor:
- Üçüncü taraf yanlış yapılandırmaları
- Oracle’da barındırılan ancak Oracle tarafından barındırılmayan harici uygulamalar
- Artık kullanılmayan eski sistemler
Esasında şunu söylüyorlar: “Evet, ifşa edilmiş veriler var – ancak bu bulut altyapımızdaki bir güvenlik açığından kaynaklanmıyor.”
Bu, bulut dünyasında klasik bir gri alan savunması : “Verileriniz platformumuza sızdı, ancak bu bizim ihlalimiz değil.”
Dahili bir denetim tamamlanana kadar Oracle muhtemelen olayı reddedecek, önemsizleştirecek veya geciktirecek.“İhlal kanıtı yok” veya “Güvenliği ciddiye alıyoruz” gibi bir dil kullanacak. Arka planda ise, sorun varsa tespit edip, düzeltmeyi deneyecek ve bu arada müşteriler arasında önlemiş olacak ve kontrollü bir açıklama stratejisi üzerinde çalışacak.
Oracle Cloud’un Geçmiş Güvenlik Olayları
- 2022-2023: Cozy Bear (Rus APT29) Oracle Cloud’u Hedef Aldı. Rus hacker’ların geçmiş kampanyalarda Oracle’ın MICROS satış noktası sistemlerini istismar ettiği bildirildi. Doğrudan bir OCI ihlali yok, ancak üçüncü taraf riskleri vurgulandı.
- 2023: Araştırmacılar Açığa Çıkmış Müşteri Verilerini Buldu. Bazı Oracle Cloud müşterileri depolama kovalarını yanlış yapılandırdı ve bu da veri sızıntılarına yol açtı (Oracle’ın hatası değil, kullanıcılar için bir risk).
- 2024: Çin Casusluk Endişeleri. ABD yetkilileri, arka kapı erişimi korkuları nedeniyle hassas veriler için Oracle’ı (ve diğer bulut sağlayıcılarını) kullanmanın olası riskleri konusunda uyardı.
Kaynak : 