Oracle akhirnya mengakui kepada beberapa pelanggan bahwa penyerang telah mencuri kredensial klien lama setelah melanggar “lingkungan warisan” yang terakhir digunakan pada tahun 2017, Bloomberg melaporkan.
Namun, sementara Oracle mengatakan kepada klien bahwa ini adalah data lama lama yang tidak sensitif, aktor ancaman di balik serangan telah berbagi data dengan BleepingComputer dari akhir 2024 dan memposting catatan yang lebih baru dari tahun 2025 di forum peretasan.
Menurut Bloombergperusahaan juga memberi tahu klien bahwa perusahaan cybersecurity Crowdstrike dan FBI sedang menyelidiki insiden tersebut.
Perusahaan Keamanan Cybers Cybelangel pertama kali mengungkapkan bahwa Oracle mengatakan kepada klien bahwa penyerang yang mendapatkan akses ke server Gen 1 (juga dikenal sebagai Oracle Cloud Classic) perusahaan pada Januari 2025 menggunakan eksploitasi Java 2020 untuk menggunakan shell web dan malware tambahan.
Selama pelanggaran, terdeteksi pada akhir Februari, penyerang diduga mengeksfiltrasi data dari database Oracle Identity Manager (IDM), termasuk email pengguna, kata sandi hash, dan nama pengguna.
Ini terjadi setelah aktor ancaman (dikenal sebagai Rose87168) Lakukan untuk dijual 6 juta catatan data Tentang BreachForums pada 20 Maret dan merilis beberapa file teks yang berisi database sampel, informasi LDAP, dan daftar perusahaan sebagai bukti bahwa data itu sah, semuanya diduga dicuri dari server login SSO Federated Oracle Cloud.
Ketika diminta untuk mengkonfirmasi keaslian data yang bocor, Oracle mengatakan kepada BleepingComputer bahwa “tidak ada pelanggaran Oracle Cloud. Kredensial yang diterbitkan bukan untuk Oracle Cloud. Tidak ada pelanggan Oracle Cloud yang mengalami pelanggaran atau kehilangan data apa pun.”
Oracle membantah ini bahkan setelah URL yang diarsipkan menunjukkan bahwa aktor ancaman mengunggah file yang berisi alamat email mereka ke salah satu server Oracle. URL ini kemudian dihapus dari archive.org, tetapi Arsip Arsip masih ada.
Namun, beberapa hari kemudian, BleepingComputer dikonfirmasi Dengan banyak perusahaan yang sampel tambahan dari data yang bocor (termasuk nama tampilan LDAP terkait, alamat email, nama yang diberikan, dan informasi pengidentifikasi lainnya) yang diterima dari aktor ancaman valid.
Oracle secara konsisten menolak laporan tentang pelanggaran di Oracle Cloud dalam pernyataan yang dibagikan dengan pers sejak insiden itu muncul. Ini diakui benar karena selaras dengan laporan bahwa Oracle memberi tahu pelanggan bahwa pelanggaran itu memengaruhi platform lama yang dikenal sebagai Oracle Cloud Classic.
“Oracle Rebadged Old Oracle Cloud Services Menjadi Oracle Classic. Oracle Classic memiliki insiden keamanan,” pakar cybersecurity Kevin Beaumont dikonfirmasi pada hari Senin. “Oracle menyangkalnya di ‘Oracle Cloud’ dengan menggunakan ruang lingkup ini – tapi masih layanan Oracle Cloud yang dikelola Oracle. Itu bagian dari permainan kata.”
Seorang juru bicara Oracle tidak segera tersedia untuk dikomentari ketika dihubungi oleh BleepingComputer sebelumnya hari ini untuk detail lebih lanjut tentang Oracle Cloud Breach.
Melanggar Oracle Health
Minggu lalu, Oracle juga memberi tahu pelanggan tentang a Breach at the Software-as-a-Service Company (SaaS) Oracle Health(sebelumnya Cerner), memengaruhi banyak organisasi dan rumah sakit kesehatan AS.
Meskipun perusahaan belum secara terbuka mengungkapkan insiden ini, BleepingComputer mengkonfirmasi bahwa data pasien dicuri dalam serangan itu, seperti yang dikonfirmasi oleh komunikasi pribadi antara Oracle Health dan pelanggan yang terkena dampak dan dari percakapan dengan mereka yang terlibat.
Oracle Health mengatakan mereka mendeteksi pelanggaran server migrasi data Cerner Legacy pada 20 Februari 2025, dan bahwa para penyerang menggunakan kredensial pelanggan yang dikompromikan untuk meretas server sekitar 22 Januari 2025.
Sumber mengatakan kepada BleepingComputer bahwa rumah sakit yang terkena dampak sekarang sedang diperas oleh aktor ancaman bernama “Andrew,” yang belum mengklaim afiliasi dengan pemerasan atau kelompok ransomware.
Aktor ancaman menuntut jutaan dolar dalam cryptocurrency untuk tidak membocorkan atau menjual data curian dan telah membuat situs web ClearNet tentang pelanggaran untuk menekan rumah sakit untuk membayar tebusan.
BleepingComputer telah menghubungi Oracle Health beberapa kali tentang kejadian ini sejak 4 Maret, tetapi kami belum menerima balasan.
