Tres semanas después Oráculo Se adhiere a su posición, a saber, que su plataforma OIC principal no está involucrada, pero la confusión puede haberse evitado gracias a una mejor comunicación. Ser una violación es un gran desafío para cualquier organización, pero a veces es mucho menos que problemas de comunicación con los clientes, los periodistas y el ejército de investigadores interesados ​​listos para levantar la ambigüedad. Semanas después de que se hizo público la culpa, estas ambigüedades aún no se han levantado. "> El colocador en línea de un hacker de datos supuestamente del compromiso de un servidor en la producción del servicio SSO de Oracle, el proveedor no se molesta. A pesar del Confirmación de la fuga de datos por parte de los clientesEl proveedor continúa minimizando la violación de los datos que fue la víctima, insistiendo en un correo electrónico enviado a los clientes esta semana que la piratería no involucró su plataforma principal, Oracle Cloud Infrastructure (OIC). Normalmente, tal negación debería poner fin a la historia, pero las circunstancias de esta violación y la respuesta confusa de Big Red sobre este tema en las últimas semanas han llevado a algunos a cuestionar el relato del incidente por parte de la compañía. El correo electrónico de esta semana decía que el incidente se refería a "dos servidores obsoletos" no relacionados con los entornos de la nube OIC o de los clientes.

"Oracle desea afirmar inequívocamente que Oracle Cloud, también conocida como Infraestructura de Oracle Cloud u OIC, no ha sufrido una violación de seguridad", dijo la carta. "No se ha penetrado en el entorno del cliente de OIC. No se han consultado ni robado datos de clientes OIC. No se ha interrumpido ni comprometido ningún servicio OIC de ninguna manera", continúa la carta. No se ha expuesto una contraseña utilizable porque estaban "encriptadas y/o picadas [....] En consecuencia, el pirata no ha podido acceder a los entornos o los datos del cliente ”, concluye el correo electrónico.

Índice
  1. Información de identificación pirateada personal
  2. A ambigüedad persistente no levantado

Información de identificación pirateada personal

Pero si los "dos servidores obsoletos" no formaban parte del sistema OIC, ¿de qué formaban parte? ¿Y qué datos del cliente tenían acceso Pirate, si era necesario? En esta etapa, las opiniones de los investigadores de seguridad y los contraataques de Oracle están comenzando a divergir. La existencia de cualquier incumplimiento se hizo pública por primera vez en marzo, cuando un pirata que usa el seudónimo "Rose87168" hizo público en un foro de violaciones de la fuga de seis millones de identificadores SSO y LDAP, entre otros datos sensibles, supuestamente robados de la plataforma de la nube del editor. Si es cierto, sería un gran problema porque los identificadores SSO y LDAP, incluso hábilmente picados, no son elementos que un proveedor de servicios en la nube o un cliente les gustaría ver en manos de un tercero.

El pirata dicho A la computadora que había accedido al sistema Oracle en febrero, después de lo cual había intentado (en vano) extorsionarlo a cambio de la no divulgación de los datos. Pero incluso si las escotillas se mantuvieran seguras, otros datos confidenciales podrían usarse para configurar ataques específicos, señalaron la compañía de seguridad de confianza: "Todos los datos incluyen PII (información de identificación personal), como nombres, nombres completos de visualización, direcciones electrónicas, funciones, números de departamento, números de teléfono de contacto en el hogar", escribir Investigadores de confianza de confianza, que señalan que las consecuencias de tal violación podrían ser costosas. "Para las empresas interesadas, una fuga como esta podría conducir a responsabilidades en caso de violación de datos, sanciones regulatorias, infracciones de reputación, interrupciones operativas y erosión a largo plazo de la confianza del cliente", escriben.

A ambigüedad persistente no levantado

Big Red posteriormente negó la acusación de violación, declarando a los medios de comunicación: "La información de identificación publicada no concierne a Oracle Cloud. Ningún cliente de Oracle Cloud ha sido víctima de una violación o ha perdido datos. A principios de abril, la compañía cambió ligeramente tácticas, admitiendo que había sido la víctima de una violación de una violación mientras los datos habían sido extraído de un" entorno existente "(Alias ​​o Classic) que había sido la víctima de la compañía de 2017. Sus clientes, mencionando que el FBI y CrowdStrike estaban investigando el incidente que se agregó a otros datos. Oracle.

¿Fue violada o no la plataforma Oracle OCI principal? No todos están convencidos por la negación categórica de la empresa. Según Kevin Beaumont, un eminente investigador de seguridad, la compañía esencialmente ha jugado con palabras para diferenciar los servidores Oracle Classic que admite que han sido violados y los servidores OIC, lo que sostiene que no han sido. "Oracle ha rehuido los viejos servicios de Oracle Cloud en Oracle Classic. Oracle Classic tiene el incidente de seguridad", señaló Beaumont En disección del incidente y la respuesta de Oracle a Medium. "Oracle niega que esta sea Oracle Cloud usando este argumento, pero estos siguen siendo Oracle Cloud Services, que Oracle administra. Es parte de su trabajo jugar con palabras. La compañía estadounidense también ha contactado discretamente a varios clientes para confirmar la existencia de una especie de violación, agregó. Por lo tanto, las partes interesadas tienen un sentimiento insatisfactorio de que algo desafortunado ha sucedido, sin exactamente lo que es.

Por el momento, Oracle se adhiere a su posición, a saber, que su plataforma OIC principal no está involucrada, pero la confusión puede haberse evitado gracias a una mejor comunicación. Ser una violación es un gran desafío para cualquier negocio, pero a veces es mucho menos que problemas de comunicación con los clientes, los periodistas y el ejército de investigadores interesados ​​listos para aumentar cualquier ambigüedad. Semanas después de que se hizo público el defecto, estas ambigüedades aún no se han levantado.