Oraclegate: Oplysninger om 140.000 kunder lækket

Eskil Sørensen

04.07.2025 14:44

Så kom Oracle endelig ud af busken.

I denne uge har Oracle endelig bekræftet, at et databrud har fundet sted i deres cloud-infrastruktur. Det sker noget tid efter, at flere uafhængige kilder og sikkerhedsresearchere i løbet af de seneste uger har påpeget uoverensstemmelser mellem virksomhedens offentlige udmeldinger og faktiske hændelser. Bruddet ser ud til at have berørt brugerkonti og krypterede adgangsoplysninger for op mod 140.000 kunder.

Det skriver Security Week, der i sin artikel peger på, at bekræftelsen er givet ’privat’ til udvalgte kunder. Nemlig at dele af kundernes cloud-systemer er blevet kompromitteret. Men tilsyneladende forsøger Oracle at nedtone hændelsens alvor.

Et angreb med rødder tilbage til 2020

Ifølge sikkerhedsfirmaet CyberAngel blev Oracle kompromitteret gennem en ældre Java-sårbarhed fra 2020, som gjorde det muligt for en trusselaktør at installere en webshell og malware rettet mod Oracle Identity Management-databasen. Aktøren skal have haft adgang til systemet siden januar 2025 og udnyttet sårbarheden til at hente data fra et såkaldt ’Gen 1’ cloudmiljø – en ældre generation af Oracles cloudtjenester.

Det kompromitterede miljø bliver ifølge Oracle selv ikke længere brugt aktivt og skal være blevet taget ud af drift for op mod otte år siden. Dog antyder flere kilder, at nogle af de lækkede legitimationsoplysninger er fra 2024, og at adgangen muligvis har været bredere end først antaget.

Forsøg på afpresning og datalæk

Angrebet blev offentligt kendt, da en hacker under aliaset ‘rose87168’ forsøgte at afpresse Oracle for 20 millioner dollars. Da dette ikke lykkedes, blev store mængder data tilbudt til salg eller bytte mod viden om 0-dagssårbarheder. Blandt de lækkede informationer findes bl.a.:

Eksempeldata fra 10.000 kunder
En video optaget under et internt Oracle-møde
Brugeroplysninger og beviser på adgang til interne systemer

Flere sikkerhedsfirmaer har bekræftet, at de lækkede data er ægte og stammer fra produktionsmiljøer.

Tavshed udadtil – erkendelse bag lukkede døre

Oracle har udadtil benægtet, at Oracle Cloud er blevet kompromitteret, og har fastholdt, at der "ikke har været et brud på Oracle Cloud". Samtidig har de angiveligt kontaktet berørte kunder direkte – dog kun mundtligt, uden skriftlig dokumentation.

Det skaber bekymring blandt researchere. Som researcher Kevin Beaumont siger om Oracles kommunikationsstrategi:

"Oracle forsøger at manipulere med ord som 'Oracle Cloud' og 'Gen 1' for at undgå ansvar. Det er ikke i orden. De bør kommunikere klart og åbent om, hvad der er sket, og hvordan det påvirker kunderne."

Denne mangel på kommunikation fra Oracle har også påvirket håndtering af sagen herhjemme, hvor Oracles store kunder må formodes at være gået i en slags beredskab for at være klar til at kunne håndtere sagen.

Om ikke andet, så har Oraclegate stimuleret træning af beredskabet.

For DKCERTs vedkommende har sagen medført intensiv dialog med vores partnere.

Læs mere

https://www.securityweek.com/oracle-confirms-cloud-hack/

Sikkerhedshændelse