Oracle a finalement reconnu à certains clients que des attaquants avaient volé d’anciennes informations d’identification client après avoir violé un « environnement hérité » utilisé pour la dernière fois en 2017, a rapporté Bloomberg.
Cependant, alors qu’Oracle a déclaré aux clients qu’il s’agissait d’anciennes données héritées qui n’étaient pas sensibles, l’auteur de la menace à l’origine de l’attaque a partagé des données avec Breachtrace à partir de la fin de 2024 et a publié de nouveaux enregistrements à partir de 2025 sur un forum de piratage.
Selon Bloomberg, la société a également informé ses clients que la société de cybersécurité CrowdStrike et le FBI enquêtaient sur l’incident.
La société de cybersécurité CybelAngel a révélé pour la première fois qu’Oracle avait déclaré à ses clients qu’un attaquant qui avait eu accès aux serveurs Gen 1 (également connu sous le nom d’Oracle Cloud Classic) de l’entreprise dès janvier 2025 avait utilisé un exploit Java 2020 pour déployer un shell Web et des logiciels malveillants supplémentaires.
Au cours de la violation, détectée fin février, l’attaquant aurait exfiltré des données de la base de données Oracle Identity Manager (IDM), y compris des courriels d’utilisateurs, des mots de passe hachés et des noms d’utilisateur.
Cela intervient après qu’un acteur de la menace (connu sous le nom de rose87168) a mis en vente 6 millions d’enregistrements de données sur BreachForums le 20 mars et publié plusieurs fichiers texte contenant un exemple de base de données, des informations LDAP et une liste des entreprises comme preuve que les données étaient légitimes, tous prétendument volés sur les serveurs de connexion SSO fédérés d’Oracle Cloud.
Lorsqu’on lui a demandé de confirmer l’authenticité des données divulguées, Oracle a déclaré à Breachtrace qu ‘ « Il n’y a eu aucune violation d’Oracle Cloud. Les informations d’identification publiées ne sont pas destinées à Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ou perdu de données. »
Oracle a nié cela même après qu’une URL archivée ait montré que l’auteur de la menace avait téléchargé un fichier contenant son adresse e-mail sur l’un des serveurs d’Oracle. Cette URL a ensuite été supprimée de Archive.org, mais une archive de l’archive existe toujours.
Cependant, quelques jours plus tard, Breachtrace a confirmé auprès de plusieurs entreprises que des échantillons supplémentaires des données divulguées (y compris les noms d’affichage LDAP associés, les adresses e-mail, les prénoms et d’autres informations d’identification) reçues de l’auteur de la menace étaient valides.
Oracle a toujours nié les informations faisant état d’une violation dans Oracle Cloud dans des déclarations partagées avec la presse depuis que l’incident a fait surface. Cela est certes vrai, car cela correspond aux rapports selon lesquels Oracle indique aux clients que la violation a eu un impact sur une ancienne plate-forme connue sous le nom d’Oracle Cloud Classic.
« Oracle a rebaptisé les anciens services Oracle Cloud pour qu’ils deviennent Oracle Classic. Oracle Classic a l’incident de sécurité », a confirmé lundi l’expert en cybersécurité Kevin Beaumont. « Oracle le nie sur » Oracle Cloud » en utilisant cette étendue — mais ce sont toujours les services Oracle Cloud qu’Oracle gère. Cela fait partie du jeu de mots. »
Un porte-parole d’Oracle n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour plus de détails sur la violation d’Oracle Cloud.
Violation chez Oracle Health
La semaine dernière, Oracle a également informé ses clients d’une violation de la société de logiciels en tant que service (SaaS) Oracle Health(anciennement Cerner), affectant plusieurs organisations de santé et hôpitaux américains.
Même si la société n’a pas divulgué publiquement cet incident, Breachtrace a confirmé que les données des patients avaient été volées lors de l’attaque, comme l’ont confirmé des communications privées entre Oracle Health et les clients concernés et des conversations avec les personnes impliquées.
Oracle Health a déclaré avoir détecté la violation des serveurs de migration de données existants Cerner le 20 février 2025, et que les attaquants ont utilisé des informations d’identification client compromises pour pirater les serveurs quelque temps après le 22 janvier 2025.
Des sources ont déclaré à Breachtrace que les hôpitaux touchés sont maintenant extorqués par un acteur menaçant nommé « Andrew », qui n’a pas revendiqué d’affiliation avec des groupes d’extorsion ou de ransomware.
L’acteur de la menace exige des millions de dollars en crypto-monnaie pour ne pas divulguer ou vendre les données volées et a créé des sites Web clearnet sur la violation pour faire pression sur les hôpitaux pour qu’ils paient la rançon.
Breachtrace a contacté Oracle Health à plusieurs reprises à propos de cet incident depuis le 4 mars, mais nous n’avons pas reçu de réponse.