Oracle под огнем критики за реакцию на отдельные инциденты безопасности
Корпорация Oracle оказалась в центре внимания из-за своей реакции на два несвязанных инцидента безопасности. Компания отрицает по крайней мере одно нарушение, несмотря на доказательства обратного. Одновременно она уведомляет клиентов из сферы здравоохранения об отдельной утечке данных пациентов.
Расследование уязвимостей облачной инфраструктуры
Недавно исследователи безопасности выразили обеспокоенность по поводу потенциальных уязвимостей в облачной инфраструктуре Oracle (OCI). Шир Труфант, бывший сотрудник Oracle, а ныне исследователь в компании Wiz, опубликовал технический отчет. В нем он подробно описывает, как предполагаемая уязвимость в OCI могла позволить злоумышленникам получить доступ к конфиденциальным данным других клиентов облака.
Эта проблема связана с недостаточной изоляцией между облачными арендаторами (tenants). По словам исследователей, проблема усугублялась использованием уязвимой версии компонента Log4j. Хотя Oracle заявляет, что исправила уязвимость Log4j, исследователи утверждают, что основной риск недостаточной изоляции сохранялся дольше.
Oracle, однако, оспаривает эти выводы. Представитель компании заявил, что утверждения о риске для данных клиентов “не соответствуют действительности”. Компания настаивает, что у нее нет доказательств активной эксплуатации уязвимости или несанкционированного доступа к данным клиентов.
Но исследователи из Wiz назвали ответ Oracle “неточным” и “вводящим в заблуждение”. Они подчеркнули, что компания медленно реагировала на сообщения об уязвимостях и не предоставила полной картины рисков. Эта ситуация вызвала критику в адрес прозрачности и скорости реакции Oracle на проблемы безопасности в ее облачных сервисах.
Уведомления об утечке данных пациентов
Параллельно с разбирательством по поводу облачной инфраструктуры, Oracle начала уведомлять клиентов своего подразделения Oracle Health о другом инциденте. Этот инцидент затронул данные пациентов. Oracle Health, ранее известная как Cerner до ее приобретения Oracle в 2022 году, предоставляет ИТ-решения для сферы здравоохранения.
Утечка произошла в приложении для управления финансами пациентов под названием RevElate Patient Accounting. Сообщается, что неавторизованные лица получили доступ к системе в период со 2 по 4 января 2024 года.
Одним из пострадавших клиентов стала система здравоохранения BayCare Health System во Флориде. Представители BayCare подтвердили получение уведомления от Oracle. По их данным, утечка затронула около 15 000 пациентов.
Среди скомпрометированных данных могут быть:
* Имена пациентов
* Даты рождения
* Номера социального страхования (SSN)
* Информация о медицинском страховании
* Некоторые клинические данные
Oracle Health заявила, что предприняла шаги для защиты систем и расследует инцидент. Компания сотрудничает с правоохранительными органами и экспертами по кибербезопасности. Однако сам факт утечки и задержка с уведомлением (инцидент произошел в январе, а уведомления начались в конце марта) также вызывают вопросы.
Двойной удар по репутации
Ситуация осложняется тем, что Oracle приходится одновременно парировать обвинения в сокрытии уязвимостей в OCI и признавать реальную утечку данных в Oracle Health. Такое сочетание событий негативно сказывается на репутации компании в области кибербезопасности. Критики указывают на недостаточную прозрачность и потенциально медленную реакцию на инциденты как общую проблему для технологического гиганта.