Datalæk hos Oracle eller ej?

Oracle hævdes for nylig at have været udsat for et omfattende datalæk, der potentielt påvirker over 140.000 kunder globalt, herunder i Danmark, hvor Statens IT skal være blandt de berørte. Oracle nægter imidlertid at have være udsat for lækket.

Ifølge en rapport fra CloudSEK's XVigil-team blev det den 21. marts 2025 opdaget, at en hacker med aliaset "rose87168" solgte 6 millioner optegnelser, der angiveligt stammer fra Oracle Clouds Single Sign-On (SSO) og Lightweight Directory Access Protocol (LDAP) systemer. 

De første medier til at omtale sagen var Cybersecurity Dive og CSO-online. Siden har Computerworld her i Danmark også skrevet om historien.

De stjålne data omfatter elementer som Java KeyStore (JKS) filer, krypterede SSO-adgangskoder, nøglefiler og Enterprise Manager Java Platform Security (JPS) nøgler. Angriberen hævder at have udnyttet en sårbarhed i Oracles login-endpoint , specifikt subdomaenet login.us2.oraclecloud.com, som angiveligt kørte forældede softwarekomponenter fra 2014. 

Selv om Oracle benægter bruddet, har researchere hos CloudSEK tilsyneladende præsenteret yderligere beviser, der understøtter påstandene om kompromittering. Ifølge Cybersecurity Dive bekræftede researcherne, at hackeren havde eksporteret 6 millioner optegnelser ved at udnytte en sårbarhed i Oracles login-endpoint. Det har været dette, der har givet adgang til følsomme data. 

Cloudsek har udviklet et værktøj, så man kan se, om ens organisation er en del af lækket. 

DKCERT er i dialog med sine partnere om datalækket og følger sagen.