Oracle intenta ocultar un grave incidente de seguridad en sus servicios SaaS

 (doublepulsar.com)
4 puntos por GN⁺ 2025-04-01 | 2 comentarios | Compartir por WhatsApp
  • En un servicio SaaS administrado por Oracle ocurrió un grave incidente de ciberseguridad, pero surgieron indicios de que Oracle intentó ocultarlo sin notificar a los clientes
  • Para los proveedores de servicios en la nube es indispensable divulgar con transparencia los incidentes de ciberseguridad, pero Oracle en cambio negó los daños

Resumen del incidente y afirmaciones del hacker

  • El 21 de marzo de 2025, el hacker rose87168 afirmó haber comprometido algunos servicios de Oracle dentro de *.oraclecloud.com
  • Oracle lo negó oficialmente de inmediato diciendo que “no hubo una intrusión en Oracle Cloud”, y explicó que las credenciales relacionadas no tenían vínculo con Oracle Cloud
  • Sin embargo, el hacker presentó enlaces y materiales que demostrarían que tenía permisos de escritura en el servidor login.us2.oraclecloud.com
    • Ese servidor está basado en Oracle Access Manager y es un sistema administrado directamente por Oracle

Evidencia de filtración y grabación de una reunión interna

  • El hacker publicó un archivo de audio de una reunión interna de Oracle (2 horas)
  • El hacker también publicó material adicional que incluye archivos de configuración del servidor web de Oracle y ajustes de sistemas internos
    • Los datos filtrados incluyen datos reales, como direcciones de correo de empleados de empresas clientes

Respuesta de Oracle y juego de palabras

  • Mientras Oracle sostenía que no había problemas en los servicios de “Oracle Cloud”, intentó esquivar el alcance renombrándolo como servicio antiguo (Oracle Classic)
  • Esto se interpreta como una manipulación del lenguaje (wordsmithing) para ocultar el alcance real del daño
  • Solicitó a Archive.org eliminar material probatorio, pero no eliminó la segunda URL, que sigue siendo accesible

Reacción de la comunidad de seguridad y resumen

  • Expertos en seguridad y medios criticaron la respuesta de Oracle
    • Oracle opera servicios que manejan datos de clientes, pero está evadiendo su responsabilidad de confianza y transparencia
  • Los servicios con daños confirmados corresponden a infraestructura en la nube operada directamente por Oracle
  • No se trata solo de un problema técnico, sino también de responsabilidad corporativa y ética

Resumen clave

  • El hacker penetró sistemas internos de servicios en la nube de Oracle y filtró datos reales e información de sistemas
  • Oracle no lo reconoce e intentó reducir el alcance del incidente mediante manipulación terminológica
  • Expertos en seguridad exigen a Oracle una explicación clara y pública, junto con medidas de protección para los clientes

Lecturas relacionadas

2 comentarios

 
jjpark78 2025-04-01

Oracle siendo Oracle.
 
GN⁺ 2025-04-01
Opiniones de Hacker News
  • Si eres cliente de Oracle, es probable que este incidente no te importe mucho. La razón para elegir Oracle no habría sido un buen producto o una buena empresa, sino acuerdos informales de la gerencia
  • Las brechas de seguridad se han vuelto comunes en los últimos años. Si Oracle lo hubiera reconocido, probablemente se habría olvidado en unos días. Pero el incidente sigue profundizándose
  • Si durante un incidente de seguridad no se proporciona ni siquiera la información mínima, uno se pregunta por qué debería trabajar con esa empresa. Me pregunto cuál es el objetivo final de Oracle
  • Me pregunto si Oracle realmente está seguro de que este incidente no ocurrió, o si simplemente no tiene registros. Pienso si esta situación no es más que una simple mentira
  • Hace tiempo que no veía a una empresa negarlo con tanta fuerza. Según Ars Technica, un vocero de Oracle intentó proporcionar una declaración de forma anónima, pero fue rechazada
  • Las leyes estatales exigen notificar a los clientes en caso de una brecha de seguridad, pero se ignoran por falta de mecanismos de cumplimiento. Se necesita una ley federal
  • Uso principalmente AWS, pero un BDR de Oracle me contactó por LinkedIn. Pedí el informe del incidente, pero recibí una respuesta breve diciendo que no hubo ninguna intrusión en Oracle Cloud
  • Se suma otro caso más al escándalo de seguridad de datos de Oracle de Larry Ellison. Va en línea con los otros escándalos políticos y sociales de Larry
  • NetSuite compensa a los clientes hasta con 5 veces el costo de la licencia de 12 meses si sufren pérdidas
  • La era de la posverdad es confusa. Pero esto parece ser el comportamiento estándar de Oracle
  • Ya es hora de que Oracle pida perdón a sus clientes de larga data
  • Da miedo que Oracle pueda eliminar elementos de Archive.org