Il 20 marzo 2025, un utente online con lo pseudonimo rose87168 ha dichiarato di aver avuto accesso a sistemi di login dei clienti cloud di Oracle, riuscendo a rubare circa 6 milioni di record contenenti password crittografate, certificati di sicurezza e altri dati sensibili. Oracle ha prontamente negato qualsiasi violazione, affermando che "non c'è stata alcuna violazione di Oracle Cloud" e che "nessun cliente di Oracle Cloud ha subito una violazione o perso dati".
Tuttavia, l'hacker ha fornito prove della violazione sotto forma di un campione di 10.000 righe di dati presumibilmente rubati a Alon Gal, CTO di Hudson Rock. Gal ha dichiarato di aver presentato queste informazioni ad alcuni clienti Oracle, che ne hanno confermato l'autenticità. Il campione includeva estratti di database con informazioni personali dei dipendenti dei clienti e record LDAP.
Secondo le analisi di aziende di sicurezza come CloudSEK e Orca Security, l'intrusione sarebbe avvenuta sfruttando una vulnerabilità nota (CVE-2021-35587) nel servizio di Single Sign-On di Oracle, che l'azienda non avrebbe corretto sui propri server di produzione nonostante fosse stata rilasciata una patch all'inizio del 2022.
In un incidente separato ma collegato, Oracle avrebbe recentemente informato alcuni clienti del settore sanitario che i loro dati sui pazienti potrebbero essere stati compromessi in un attacco avvenuto intorno al 20 febbraio 2025. Secondo quanto riportato da Reuters, l'FBI starebbe indagando sull'accaduto.
Azioni legali e reazioni della comunità di sicurezza
A seguito di questi presunti incidenti, Oracle è stata citata in giudizio per negligenza e violazione di contratto. La causa federale, depositata in Texas occidentale, chiede lo status di class action e mira a ottenere risarcimenti e impegni da parte di Oracle per migliorare la protezione dei suoi sistemi e dati dei clienti.
La comunità di sicurezza informatica ha criticato duramente il silenzio di Oracle e il suo apparente tentativo di evitare responsabilità. Kevin Beaumont, esperto di sicurezza, ha accusato l'azienda di "giocare con le parole" nelle sue dichiarazioni, facendo distinzioni poco rilevanti tra Oracle Cloud e Oracle Cloud Classic.
Jake Williams, altro ricercatore di sicurezza, ha affermato: "Oracle sta cercando di manipolare le dichiarazioni su Oracle Cloud usando parole molto specifiche per evitare responsabilità. Questo non è accettabile. Oracle deve comunicare chiaramente, apertamente e pubblicamente cosa è successo, come influisce sui clienti e cosa stanno facendo al riguardo. È una questione di fiducia e responsabilità."
Alcuni esperti hanno anche accusato Oracle di aver tentato di rimuovere prove dell'intrusione dalla Wayback Machine, l'archivio di Internet. Un file di testo lasciato dall'hacker su uno dei sistemi di login di produzione di Oracle, che conteneva il suo indirizzo email privato, sarebbe stato rimosso su richiesta.
La gestione di questo incidente da parte di Oracle solleva importanti questioni sulla sicurezza e l'affidabilità dei servizi cloud aziendali, nonché sulla trasparenza delle grandi aziende tecnologiche nel comunicare e gestire violazioni di dati. La vicenda potrebbe avere significative ripercussioni sulla fiducia dei clienti e sulla reputazione di Oracle nel settore cloud computing.
