Oracle está confirmando en privado a sus clientes que algunos de sus sistemas en la nube han sido vulnerados y aparentemente está tratando de minimizar el impacto del incidente.


Un hacker, conocido en línea como "rose87168", ofreció recientemente vender millones de líneas de datos presuntamente asociadas con más de 140.000 usuarios de Oracle Cloud, incluyendo credenciales cifradas. Inicialmente, esperaba obtener un pago de 20 millones de dólares de Oracle, pero posteriormente ofreció vender los datos a cualquiera o intercambiarlos por exploits de día cero.


Tras conocerse las acusaciones del hacker, Oracle negó categóricamente cualquier ataque a Oracle Cloud, afirmando: «No se ha producido ninguna vulneración de Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos». 


Sin embargo, el hacker ha estado compartiendo varios tipos de información para probar sus afirmaciones, incluida una muestra de 10.000 registros de datos de clientes, un enlace a un archivo que demuestra el acceso a los sistemas en la nube de Oracle, credenciales de usuario y un extenso video que parece haber sido grabado durante una reunión interna de Oracle. 


Varias empresas de seguridad señalaron que la información filtrada de los clientes parece ser auténtica y estar asociada a un entorno de producción. SecurityWeek y otras empresas han recibido confirmación de algunos clientes de Oracle Cloud de que sus datos estaban incluidos en la filtración. 


SecurityWeek ha solicitado una declaración a Oracle varias veces desde que salió a la luz el incidente, pero la compañía no ha respondido más allá de la declaración inicial negando categóricamente la violación. 


Sin embargo, existen varios informes independientes que indican que Oracle notifica de forma privada a los clientes afectados y confirma que se ha producido una filtración de datos. Por otro lado, los detalles siguen siendo confusos y parece haber información contradictoria.


Bloomberg ha sabido, a través de personas familiarizadas con el asunto, que Oracle ha comenzado a informar privadamente a sus clientes sobre una filtración de datos que afecta a nombres de usuario, claves de acceso y contraseñas cifradas. Según se informa, el FBI y CrowdStrike están investigando el incidente. 


Según algunas fuentes de Bloomberg, Oracle informa a sus clientes que el incidente afectó a un entorno heredado que no se ha utilizado durante ocho años y que las credenciales comprometidas representan un riesgo mínimo. Otra fuente indicó a la publicación que algunas de las credenciales comprometidas son de 2024. 


La empresa de seguridad CyberAngel se enteró de una fuente anónima que los servidores en nube 'Gen 1' se vieron afectados (los servidores 'Gen 2' más nuevos no) y que la información comprometida tiene al menos 16 meses de antigüedad y no incluye detalles personales completos. 


“Nuestra fuente, a quien no nombramos como se nos solicitó, informa que Oracle supuestamente identificó a un atacante que estaba en el servicio de identidad compartida ya en enero de 2025”, dijo Cyber ​​Angel .


Esta exposición se facilitó mediante un exploit de Java de 2020, y el hacker logró instalar un webshell junto con malware. El malware se dirigió específicamente a la base de datos Oracle IDM y logró extraer datos. Supuestamente, Oracle tuvo conocimiento de una posible brecha de seguridad a finales de febrero e investigó el problema internamente. En cuestión de días, Oracle logró eliminar al actor cuando se presentó la primera petición de rescate a principios de marzo.


El hacker afirma que la información del año 2025 también se vio comprometida. 


El investigador de ciberseguridad Kevin Beaumont, que ha estado siguiendo la historia, se enteró por los clientes de la nube de Oracle que las notificaciones del gigante tecnológico han sido solo verbales; no hay notificaciones escritas. 


Beaumont cree que los servidores "Gen 1" podrían referirse a Oracle Classic, el nombre dado a los antiguos servicios de Oracle Cloud. Este "juego de palabras", como lo llama Beaumont, permite a Oracle negar que Oracle Cloud haya sufrido una vulneración. 


“Oracle está intentando manipular las declaraciones sobre Oracle Cloud y usa términos muy específicos para eludir su responsabilidad. Esto no es aceptable. Oracle debe comunicar de forma clara, abierta y pública lo sucedido, cómo afecta a los clientes y qué están haciendo al respecto”, afirmó el investigador.


En los últimos días también han circulado informes sobre una filtración de datos de Oracle Health, aparentemente no relacionada . Según Bleeping Computer, la información de pacientes de varias organizaciones sanitarias estadounidenses se vio comprometida en dicho incidente. 


Fuente: SecurityWeek.