كتب : وائل الجعفري
أكدت شركة أوراكل " Oracle " في رسائل بريد إلكتروني أرسلتها إلى عملائها أن أحد القراصنة تمكن من سرقة وتسريب بيانات اعتماد Credentials من خادمين قديمين وصفتهما الشركة بأنهما "خارج الخدمة" أو "منتهيي الصلاحية". وأوضحت أن هذه الخوادم لم تكن جزءًا من البنية التحتية السحابية الحديثة Oracle Cloud (OCI) الخاصة بها.
الشركة تؤكد سلامة Oracle Cloud (OCI):وأوضحت الشركة أن منصتها الحديثة Oracle Cloud Infrastructure (OCI) لم تتعرض لأي خرق أمني.
أكدت أن بيئات العملاء لم يتم اختراقها أو الوصول إليها، ولم يتم تسريب أي من بياناتهم. كما لم تتأثر أي من خدمات السحابة، أو تتعطل بأي شكل من الأشكال.
تم إرسال هذه التوضيحات من البريد الإلكتروني الرسمي replies@oracle-mail.com، داعيةً العملاء إلى التواصل مع فريق دعم Oracle أو مدير حساباتهم إذا كانت لديهم أي أسئلة إضافية.
أوضح بيان Oracle أن الهاكر تمكن فقط من الوصول إلى، ونشر أسماء مستخدمين من الخادمين القديمين، لكن لم يتم تسريب كلمات مرور قابلة للاستخدام.
كانت تلك البيانات إما مشفّرة أو مموّهة Hashed وبالتالي، لم يكن بإمكان المهاجم استخدام هذه المعلومات للوصول إلى أي بيئة حقيقية أو بيانات عملاء حاليين.
قام مخترق باسم مستعار rose87168 بعرض أكثر من 6 ملايين سجل بيانات للبيع على منتدى BreachForums في مارس 2025. واحتوت هذه البيانات على معلومات تعود لنهاية 2024 وبداية 2025، مما يتعارض مع تصريحات Oracle بأن البيانات قديمة وغير حساسة. وقد تأكد من صحة هذه العينات من خلال بعض عملاء Oracle الذين أكدوا أنها حقيقية.
وفقًا لشركة الأمن السيبراني CybelAngel، فإن المهاجم قام بزرع Web Shell وبرمجيات خبيثة Malware على خوادم Oracle Cloud Classic، وذلك في يناير 2025.
من خلال هذا الاختراق، استطاع المهاجم الوصول إلى قاعدة بيانات Oracle Identity Manager (IDM) وسرقة بيانات مثل عناوين البريد الإلكتروني للمستخدمين، وكلمات المرور المموّهة، وأسماء المستخدمين. وقد استمر هذا الاختراق حتى أواخر فبراير 2025 قبل أن يتم اكتشافه.
أشار خبير الأمن السيبراني Kevin Beaumont إلى أن Oracle تتلاعب بالألفاظ لتجنب الإقرار بحدوث اختراق. فبحسب قوله، قامت Oracle بإعادة تسمية خدماتها القديمة تحت اسم "Oracle Classic"، وتحاول حصر نطاق "Oracle Cloud" في منصتها الحديثة فقط (OCI). وبهذا الشكل، تنفي الشركة حدوث اختراق في "Oracle Cloud" رغم أن الخوادم المتأثرة لا تزال جزءًا من الخدمات التي تديرها Oracle نفسها بينما أخبرت شركة Oracle العملاء أن هذه بيانات قديمة غير حساسة، شاركت الجهة المُهدّدة وراء الاختراق بيانات من نهاية عام 2024 مع شركة BleepingComputer، ثم نشر لاحقًا سجلات أحدث من عام 2025 على BreachForums.
أكدت BleepingComputer بشكل منفصل مع العديد من عملاء Oracle صحة عينات البيانات المسربة (بما في ذلك أسماء عرض LDAP المرتبطة، وعناوين البريد الإلكتروني، والأسماء الشخصية، وغيرها من معلومات التعريف) التي تم تلقيها من الجهة المُهددة، وذلك بعد أن أبلغت Oracle BleepingComputer بأنه "لم يحدث أي اختراق لـ Oracle Cloud. بيانات الاعتماد المنشورة ليست خاصة بـ Oracle Cloud. لم يتعرض أي من عملاء Oracle Cloud لاختراق أو فقدان أي بيانات".
