אורקל מודה שהענן שלה נפרץ וגם מתעלמת מזה שהענן שלה נפרץ

חברת Oracle, תמונה:dreamstime

ב-20 במרץ 2025, האקר המכונה rose87168 העלה למכירה בפורום פשעי סייבר מידע שנגנב משרתי Oracle Cloud. המידע כלל, לטענתו, עד שישה מיליון רשומות של לקוחות, לרבות מפתחות אבטחה וסיסמאות מוצפנות. החדירה בוצעה לשרתי Legacy ישנים שהמשיכו לפעול במערך הענן של אורקל, מחוץ לפלטפורמת הדגל Oracle Cloud Infrastructure (OCI).

אף שהאירוע נחשף ברשתות החברתיות ובקהילות אבטחת המידע כמעט מיד, אורקל המתינה כ-18 יום לפני שעדכנה את לקוחותיה באופן רשמי. ההודעה ששלחה החברה, שנחשפה השבוע, מתמקדת בהכחשה של חדירה ל-OCI – אך מתעלמת כמעט לחלוטין מהחדירה בפועל לשרתי הענן הישנים.

נוסח המכתב המלא ששוגר ללקוחות ופורסם ברשת:

"לקוח אורקל יקר,

אורקל מבקשת להצהיר באופן שאינו משתמע לשתי פנים כי פלטפורמת הענן של אורקל – הידועה גם בשם Oracle Cloud Infrastructure (OCI) – לא חוותה פרצת אבטחה. אף סביבה של לקוחות OCI לא נפרצה, אף מידע של לקוחות OCI לא נחשף או נגנב, ואף שירות של OCI לא הופרע.

האקר אכן הצליח לגשת ולפרסם שמות משתמשים משני שרתים ישנים, שאינם חלק מ-OCI. הפורץ לא חשף סיסמאות שמישות, מאחר שהסיסמאות על אותם שני שרתים היו מוצפנות ו/או עברו גיבוב (Hashing). לכן, הפורץ לא הצליח לגשת לסביבות לקוחות או למידע של לקוחות.

אם יש לכם שאלות בנוגע להודעה זו, אנא פנו לתמיכת אורקל או למנהל החשבון שלכם".

מסירה מעצמה אחריות?

בקריאת המכתב, בולטת הבחירה האסטרטגית של החברה. אורקל מתמקדת בהגנה על מוניטין פלטפורמת OCI, למרות שהחדירה אמנם התבצעה על שרתים ישנים שעדיין היו בשליטתה. העובדה שלא עודכנו או נותקו מהמערכת בזמן, מהווה בעיה תשתיתית חמורה שמעוררת שאלות על ניהול נכסי ה-IT של החברה.

במקום להודות בכשל התפעולי, אורקל מעדיפה לטעון ש"לא הייתה חדירה ל-OCI", כאילו שהשירות הישן אינו באחריותה. בנוסף, ההתמקדות בכך שהסיסמאות היו מוצפנות או מגובבות מציגה תמונה אופטימית מדי, שכן גם מידע מוצפן עלול להיות בסיכון, במיוחד כאשר אין מידע על רמת ההצפנה והגיבוב שבה השתמשו.

הבחירה שלא לפרט כיצד התבצעה החדירה, מהות הפרצות שנוצלו, או אילו צעדים ננקטו לתיקון הבעיה – מרחיקה את החברה מהשקיפות הנדרשת במקרה של תקרית אבטחה חמורה, ומחזקת את הביקורת שעלתה מהקהילה: אורקל שמה את שימור התדמית לפני טובת הלקוחות.