Update: Oracle bestreitet einen mutmasslichen Datendiebstahl – und warnt vor einem anderen
Das Hackerforum Breachforums hat Daten veröffentlicht, die angeblich von Oracle-Cloud-Servern gestohlen wurden. Oracle bestreitet hingegen, von einem Cyberangriff betroffen zu sein. Das Unternehmen informierte jedoch einige Kunden aus dem Healthcare-Bereich über einen möglichen Datenabfluss.
Update vom 1.4.2025: Während Oracle abstreitet, dass Hacker Daten seiner Cloud-Server abgegriffen haben, räumt das Unternehmen offenbar einen zweiten möglichen Datenabfluss ein - zumindest gegenüber einiger Kunden. Passiert ist dieser im Bereich für Healthcare-Dienste, wie "Bleeping Computer" berichtet. Konkret stellte Oracle am oder vor dem 20. Februar 2025 einen unautorisierten Datenzugriff fest, wie es in der von Oracle an die Kunden verschickten Nachricht heisst. Von diesem Zugriff waren Daten auf Cerner-Servern betroffen, die Oracle noch nicht auf eine neue Cloud-Infrastruktur migriert hatte. Cerner ist der Name einer auf Medizin-IT spezialisierten Firma, welche Oracle 2022 für über 25 Milliarden US-Dollar übernahm.
Noch veröffentlichte Oracle keine weiteren Informationen zu diesem Datenabfluss. Davon betroffen seien allerdings mehrere Gesundheitsinstitutionen und Spitäler in den USA, schreibt "Bleeping Computer". Es seien auch Patientendaten abgeflossen, heisst es unter Berufung auf anonyme Quellen. Und "Bleeping Computer" will auch erfahren haben, dass ein Hacker versuche, betroffene Gesundheitsorganisationen mit den abgeflossenen Daten zu erpressen.
In der an Gesundheitseinrichtungen verschickten E-Mail schreibt Oracle, man werde die allenfalls vom Datenabfluss betroffenen Patienten nicht direkt informieren. Es liege in der Verantwortung der angeschriebenen Organisationen, dies allenfalls zu tun. Oracle sichere allerdings zu, beim Identifizieren betroffener Personen behilflich zu sein, zitiert "Bleeping Computer" aus der Unternehmensnachricht.
Derweil kritisieren offenbar Mitarbeitende Oracle für unklare oder fehlende interne Kommunikation zu den Vorfällen, wie "Tech Crunch" berichtet. Auch vom Portal zitierte Cybersecurity-Experten empfehlen dem Unternehmen, die Vorfälle klar zu benennen.
Originalmeldung vom 27.03.2025:
Oracle mutmasslich von Datendiebstahl betroffen
Der Cloud-Anbieter Oracle scheint einem Datendiebstahl zum Opfer gefallen zu sein. Wie "Bleepingcomputer" berichtet, kam diese Vermutung letzte Woche auf, nachdem auf dem Hackerforum Breachforums ein User namens "rose87168" behauptete, in Oracle Cloud-Server eingedrungen zu sein und Authentifizierungsdaten von sechs Millionen Nutzern erbeutet zu haben. Zudem veröffentlichte der User mehrere Textdateien, LDAP-Daten und eine Liste von 140'621 betroffenen Domänen von Unternehmen und Behörden. Die gestohlenen SSO- und LDAP-Passwörter könnten durch bestimmte Informationen entschlüsselt werden, und "rose87168" bot an, einen Teil der Daten an alle weiterzugeben, die bei der Wiederherstellung helfen können.
Zusätzlich zu den Daten habe "rose87168" eine Archive.org-URL an "Bleepingcomputer" geschickt. Diese enthalte eine Textdatei, die auf dem Server "login.us2.oraclecloud.com" gehostet wurde und die E-Mail-Adresse des Breachforums-Users enthielt. Dies deute darauf hin, dass "rose87168" Dateien auf Oracle-Servern erstellen konnte, was einen tatsächlichen Datendiebstahl wahrscheinlich mache. Wie es weiter heisst, haben mehrere der in der Domänen-Liste aufgeführten Unternehmen gegenüber "Bleepingcomputer" bestätigt, dass unter den von "rose87168" freigegebenen Daten einige von ihnen sind.
Des Weiteren teilte der Breachforums-User einige E-Mails mit "Bleepingcomputer", die zeigen sollen, dass er Oracle selbst kontaktiert und über den Datiendiebstahl informiert habe. Der unerlaubte Zugang auf die Server sei dabei über eine Sicherheitslücke in der Software Oracle Fusion Middleware 11g erfolgt. Weitere E-Mails würden zudem einen Austausch zwischen "rose87168" und einer Person enthalten, die behauptet, ein Oracle-Mitarbeiter zu sein. Wie es bei "Bleepingcomputer" weiter heisst, konnte die Authentizität dieser Person nicht ermittelt werden.
Trotz dieser Fülle an Indizien habe Oracle auf Nachfrage jedoch bestritten, von einem Datendiebstahl betroffen zu sein und jede weitere Äusserung verweigert. Auch auf die weitergeleiteten Informationen zum E-Mail-Verkehr zwischen "rose87168" und dem angeblichen Mitarbeiter habe Oracle nicht reagiert.
Vor Kurzem haben Cyberkriminelle bei einem Angriff auf einen technischen Partner von Swiss Life Pension Services tausende Kundendaten erbeutet. Rund 60 Schweizer Pensionskassen und deren Versicherte dürften betroffen sein. Lesen Sie hier mehr darüber.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Zertifizierungsschema der ZHAW ermöglicht Risikoprüfungen von KI-Systemen
GRC & Audit: Schlüsselrollen für Cyber- und Datensicherheit
Cybersecurity-Ausbildung an der gibb HF Informatik
ADN bringt VergeIO in den DACH-Channel
Mit axont ein KMU-freundliches Access Management realisieren
All for One beruft einen Technologie-Chef
KI-gesteuerte Cyberangriffe – wie sich Unternehmen schützen können
Identitätssicherheit: Warum IAM und PAM entscheidend sind
IT-Sicherheit: Standardlösungen allein bringen es nicht mehr
