Oracle bị tố che giấu sự cố bảo mật nghiêm trọng xảy ra trong dịch vụ SaaS của hãng

 (doublepulsar.com)
4 điểm bởi GN⁺ 2025-04-01 | 2 bình luận | Chia sẻ qua WhatsApp
  • Một sự cố an ninh mạng nghiêm trọng đã xảy ra trong dịch vụ SaaS do Oracle quản lý, nhưng đã xuất hiện dấu hiệu cho thấy Oracle tìm cách che giấu và không thông báo cho khách hàng
  • Với nhà cung cấp dịch vụ đám mây, việc công khai minh bạch các sự cố an ninh mạng là điều bắt buộc, nhưng Oracle lại phủ nhận việc bị ảnh hưởng

Tổng quan sự việc và tuyên bố của hacker

  • Ngày 21/3/2025, hacker rose87168 tuyên bố đã xâm nhập một số dịch vụ Oracle trong *.oraclecloud.com
  • Oracle ngay lập tức chính thức phủ nhận, nói rằng “Oracle Cloud không bị xâm phạm”, và giải thích rằng các thông tin xác thực liên quan không liên quan đến Oracle Cloud
  • Tuy nhiên, hacker đã cung cấp liên kết và tài liệu chứng minh có quyền ghi trên máy chủ login.us2.oraclecloud.com
    • Máy chủ này dựa trên Oracle Access Manager và là hệ thống do chính Oracle trực tiếp quản lý

Bằng chứng rò rỉ và bản ghi âm cuộc họp nội bộ

  • Hacker đã công bố tệp ghi âm cuộc họp nội bộ của Oracle (dài 2 giờ)
    • Trong cuộc họp này, nhân viên Oracle có nhắc đến việc truy cập hệ thống, kho lưu trữ mật khẩu và quyền truy cập thông tin khách hàng
    • Liên kết video YouTube, Xem toàn văn
  • Hacker cũng công bố thêm tệp cấu hình máy chủ web của Oraclethiết lập hệ thống nội bộ
    • Dữ liệu bị lộ bao gồm dữ liệu thực như địa chỉ email nhân viên của các công ty khách hàng

Phản ứng của Oracle và cách chơi chữ

  • Trong khi Oracle khẳng định dịch vụ “Oracle Cloud” không có vấn đề, hãng lại đổi cách gọi sang dịch vụ cũ (Oracle Classic) để né phạm vi ảnh hưởng
  • Điều này được hiểu là sự thao túng ngôn từ (wordsmithing) nhằm che giấu phạm vi thiệt hại thực tế
  • Oracle đã yêu cầu Archive.org gỡ bỏ tài liệu chứng cứ, nhưng URL thứ hai không bị xóa nên vẫn có thể truy cập

Phản ứng của cộng đồng bảo mật và tóm tắt

  • Các chuyên gia bảo mật và truyền thông đã chỉ trích phản ứng của Oracle
    • Oracle đang vận hành các dịch vụ xử lý dữ liệu khách hàng nhưng né tránh trách nhiệm về niềm tin và tính minh bạch
  • Dịch vụ được xác nhận bị ảnh hưởng là hạ tầng đám mây do Oracle trực tiếp vận hành
  • Đây không chỉ là vấn đề kỹ thuật đơn thuần mà còn là vấn đề về trách nhiệm doanh nghiệp và đạo đức

Tóm tắt chính

  • Hacker đã xâm nhập vào bên trong dịch vụ đám mây của Oracle và làm rò rỉ dữ liệu thực cùng thông tin hệ thống
  • Oracle không thừa nhận điều này và cố thu hẹp phạm vi sự cố bằng cách thao túng thuật ngữ
  • Các chuyên gia bảo mật kêu gọi Oracle đưa ra giải thích rõ ràng, công khai và triển khai biện pháp bảo vệ khách hàng

Bài viết liên quan

2 bình luận

 
jjpark78 2025-04-01

Oracle lại "Oracle" rồi.
 
GN⁺ 2025-04-01
Ý kiến trên Hacker News
  • Nếu là khách hàng của Oracle, có lẽ vụ việc này sẽ không quá quan trọng. Lý do chọn Oracle không phải vì sản phẩm tốt hay công ty tốt, mà là vì những thỏa thuận không chính thức của giới điều hành
  • Các sự cố bảo mật đã trở nên quá phổ biến trong vài năm gần đây. Nếu Oracle thừa nhận điều này, có lẽ chỉ vài ngày sau là mọi người đã quên. Nhưng vụ việc đang ngày càng lún sâu hơn
  • Nếu khi xảy ra sự cố bảo mật mà họ không cung cấp dù chỉ là thông tin tối thiểu, thì phải đặt câu hỏi vì sao mình còn nên làm việc với công ty đó. Tôi tự hỏi mục tiêu cuối cùng của Oracle là gì
  • Tôi thắc mắc liệu Oracle có thực sự chắc chắn rằng sự việc này chưa từng xảy ra, hay là họ không có log. Tôi nghĩ đến khả năng đây không chỉ đơn thuần là nói dối
  • Gần đây tôi chưa từng thấy công ty nào phủ nhận mạnh đến vậy. Theo Ars Technica, người phát ngôn của Oracle đã cố cung cấp tuyên bố dưới dạng ẩn danh nhưng đã bị từ chối
  • Luật của các bang yêu cầu phải thông báo cho khách hàng khi có vi phạm bảo mật, nhưng do thiếu cơ chế cưỡng chế nên thường bị phớt lờ. Cần có luật liên bang
  • Tôi chủ yếu dùng AWS, nhưng BDR của Oracle đã liên hệ qua LinkedIn. Tôi yêu cầu báo cáo sự cố, nhưng chỉ nhận được câu trả lời ngắn gọn rằng không có vụ xâm phạm nào trên Oracle Cloud
  • Thêm một ví dụ nữa cho bê bối bảo mật dữ liệu của Oracle dưới thời Larry Ellison. Điều này cũng khớp với các bê bối chính trị và xã hội khác của Larry
  • NetSuite sẽ bồi thường cho khách hàng tối đa gấp 5 lần chi phí giấy phép trong 12 tháng nếu khách hàng chịu tổn thất
  • Thời đại hậu sự thật thật hỗn loạn. Nhưng điều này lại trông như cách hành xử tiêu chuẩn của Oracle
  • Đã đến lúc Oracle phải xin sự tha thứ từ các khách hàng lâu năm
  • Thật đáng sợ khi Oracle có thể gỡ một mục khỏi Archive.org