Pincasso – shutterstock.com
Während Oracle den Datenverstoß, der in der vergangenen Woche ans Licht kam, öffentlich abstreitet, informierte die Tochtergesellschaft Oracle Health kürzlich betroffene Kunden über ein Datenleck. Betroffen waren Daten von alten Datenmigrations-Server von Cerner, wie aus einem Bericht von Bleeping Computer hervorgeht. Oracle hatte den IT-Dienstleister für das Gesundheitswesen, aus dem später Oracle Health hervorging, 2021 übernommen.
„Wir schreiben Ihnen, um Sie darüber zu informieren, dass wir am oder um den 20. Februar 2025 auf ein Cybersicherheitsvorfall aufmerksam wurden, bei dem unbefugter Zugriff auf einen Teil Ihrer Cerner-Daten erfolgte, die sich auf einem alten Legacy-Server befanden, der noch nicht in die Oracle Cloud migriert worden war“, heißt es in der Mitteilung von Oracle.
Obwohl der Vorfall bei Oracle Health nichts mit dem mutmaßlichen Cloud-Verstoß beim Mutterkonzern zu tun hat, wirft er ernsthafte Bedenken hinsichtlich der Sicherheitspraktiken des Unternehmens auf. Insbesondere im Hinblick auf den Schutz sensibler Kundendaten.
FBI untersucht den Vorfall
Laut einem Bericht von Bloomberg untersucht das FBI den Fall bei Oracle Health und die Versuche der Angreifer, betroffene medizinische Dienstleister zu erpressen. „Hacker sind in die Computersysteme von Oracle Corp. eingedrungen und haben Patientendaten gestohlen, um mehrere medizinische Dienstleister in den USA zu erpressen“, heißt es in dem Bericht unter Berufung auf eine informierte Person. “Allerdings ist nicht bekannt, wie viele Patientenakten entwendet wurden. Auch die Gesamtzahl der Gesundheitsdienstleister, die die Hacker zu erpressen versuchten, ist ungewiss.“
Die Kundenmitteilung deutet daraufhin, dass die Sicherheitsverletzung die Daten von Cerner betraf, bevor sie in die Oracle Cloud hochgeladen wurden. Ob es sich dabei um einen völlig unabhängigen Fall handelt, ist jedoch angesichts des zeitlichen Ablaufs der beiden Vorfälle und der Tatsache, dass die Sicherheitsverletzung bei den Gesundheitsdaten mit gestohlenen Logins erfolgte, nicht sicher.
„Die verfügbaren Beweise deuten darauf hin, dass der Bedrohungsakteur sich illegal Zugang zur Umgebung verschafft hat, indem er gestohlene Login-Daten von Kunden verwendet hat“, heißt es in dem Rundschreiben.
Hintergrund zum Oracle-Cloud-Angriff
Das Cybersicherheitsunternehmen CloudSEK berichtete als erster über den Cloud-Angriff, bei dem ein Bedrohungsakteur namens „rose87168“ sechs Millionen Datensätze verkaufte, die aus dem Single-Sign-On (SSO) und dem Lightweight Directory Access Protocol (LDAP) von Oracle Cloud exfiltriert wurden.
Während Oracle den Vorfall den Medien gegenüber schnell abstritt, wurden Daten, die als Beispiele für den Vorfall weitergegeben wurden, von mehreren Oracle-Kunden validiert. Darüber hinaus demonstriert der Bedrohungsakteur gegenüber Bleeping Computer anhand einer URL von archive.org (http://login.us2.oraclecloud.com), dass er auch Schreibzugriff auf den Anmeldedienst, der Oracle Access Manager verwendet, hatte.
Oracle forderte im Anschluss, dass Wayback Machine (Archive.org) die archivierte URL entfernen soll – ein Schritt, den unabhängige Cybersecurity-im Internet als Vertuschungsversuch kritisierten von Oracle. In der Zwischenzeit hat der Bedrohungsakteur auch ein langes Video von einer internen Oracle-Besprechung veröffentlicht, das vermutlich aus dem Datenleck stammt und seine Behauptungen untermauert.
„In der Cybersicherheit neutralisiert Leugnen die Gefahr nicht, Transparenz schon“, erklärte Rahul Sassi, Mitbegründer und CEO von CloudSEK, gegenüber CSO. “Bei dieser Untersuchung geht es nicht um Schuldzuweisungen, sondern um Verantwortlichkeit. Es geht darum, jedes Sicherheitsteam, jeden Kunden und jeden Anbieter in der Lieferkette zu befähigen, zu handeln, bevor es Angreifer tun.“
Zu den von der Sicherheitsverletzung betroffenen Daten gehörten laut CloudSEK JKS-Dateien, verschlüsselte SSO-Passwörter, Schlüsseldateien und JPS-Schlüssel für Unternehmensmanager. Während die SSO-Passwörter mit anderen kompromittierten Dateien geknackt werden konnten, waren die LDAP-Passwörter verschlüsselt und der Angreifer bat in seinem Post um Hilfe bei der Entschlüsselung im Austausch gegen einige kompromittierte Daten. (jm)