Über zwei Wochen nach Bekanntwerden eines Datenlecks in einer seiner Cloud-Umgebungen wandte sich Oracle nun mit einer E-Mail an Kunden. In der Stellungnahme bemühte sich der Konzern, den Angriff und dessen Auswirkungen kleinzuschreiben. Die Oracle-Cloud (OCI) habe, so bekräftigte Oracle erneut, keinen Sicherheitsverstoß erlitten. Hacker seien nicht in Kundenumgebungen eingedrungen, Daten von Kunden seien nicht gestohlen oder eingesehen worden und OCI-Dienste seien weder kompromittiert noch gestört gewesen, so die E-Mail.
Dass dennoch ein erfolgreicher Angriff stattgefunden hat, erwähnt Oracle im folgenden Absatz – ein "Hacker" habe User-Namen von zwei überflüssigen ("obsolete") Servern veröffentlicht, die jedoch nie Teil der Oracle-Cloud waren. Er habe auch mangels nutzbarer Kennwörter keinen Zugriff auf Kunden-Umgebungen oder -Daten gehabt.
Tatsächlich liegen heise security Demo-Datensätze vor, die direkt vom Angreifer stammen. In diesen sind weit mehr als lediglich Usernamen zu finden – neben E-Mail-Adressen, verschiedenen Passworthashes und den Oracle-internen Tenant-Kennungen finden sich auch die Namen der betroffenen Systeme sowie eine Vielzahl von Zeitstempeln. Diese erstrecken sich bis in den März 2025.
Oracles Behauptung, der Angreifer habe nicht auf "Kundendaten" zugegriffen, offenbart also: Es könnte sich um ein internes System des Konzerns gehandelt haben – und die personenbezogenen Informationen seiner Kunden sind für Oracle keine Kundendaten.
Alles also halb so schlimm? Das will Oracle seine Kunden glauben machen, offenbar in der Absicht, die peinliche Episode möglichst schnell abhaken zu können. Denn auch an einer weiteren Front hat Oracle Sicherheitsprobleme zugeben müssen: Beim zugekauften Unternehmen Cerner waren im Februar Gesundheitsdaten abgeflossen, was der Muttergesellschaft zwischenzeitlich gar eine Sammelklage einbrachte. Diese wurde vom Kläger jedoch bereits am 2. April zurückgezogen.
Derweil mauert der Konzern gegenüber heise security und anderen Medien weiter. Eine Anfrage vom 1. April, in der wir um Klarstellung der bis dato einzigen öffentlichen Stellungnahme baten, bedachte weder der Sprecher der Oracle-Dependance in Deutschland noch deren PR-Agentur mit einer Eingangsbestätigung, geschweige denn einer Antwort. Möglicherweise hielten die PR-Profis unsere detaillierten Nachfragen für einen Aprilscherz.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer laden
Kommentare