甲骨文私下向客户承认服务器遭入侵数据被窃取 但却公开否认被入侵
山外的鸭子哥
#安全资讯 甲骨文私下向企业客户承认服务器遭到入侵且数据出现泄露,但到现在也没有公开承认此次安全事件甚至还在否认。两名企业客户告诉彭博社称,甲骨文已经私下联系他们告知了数据泄露,甲骨文聘请 CrowdStrike 进行调查,至于拒绝公开承认没有意义,只要发生了无非是主动或被迫承认。查看全文:https://ourl.co/108691
3 月底时有黑客发布数据称入侵甲骨文云平台服务器并窃取大约 600 万条数据,其中包括 Oracle Cloud 客户的安全密钥、加密凭证和 LDAP 等凭证,黑客还公开提供部分数据用作验证。
甲骨文第一时间否认这则消息并表示其服务器没有遭到入侵,黑客获取的数据也不属于甲骨文云平台,直到现在甲骨文也没有公开承认遭到黑客入侵和出现服务器泄露问题。
早前 BleepingComputer 就联系黑客获取部分新数据,然后联系数据所属的企业客户进行了验证,当时的验证也表明数据都是真实的,并不是甲骨文所说的数据不属于甲骨文客户。
事实证明靠嘴硬是肯定撑不过去的,现在有甲骨文云平台客户透露甲骨文已经联系他们告知数据出现泄露,并且已经聘请网络安全公司 CrowdStrike 来进行调查,CrowdStrike 拒绝证明此事,据说 FBI 也已经介入调查。
甲骨文云客户 A 告诉彭博社:甲骨文称黑客入侵了一台存储了八年前旧数据的服务器,因此那些凭据很可能已经过时;甲骨文云客户 B 告诉彭博社:甲骨文称 2024 年的登录数据已经被窃取。
在欧盟根据 GDPR 规定,企业发生客户数据被盗行为后需要在 72 小时内向受影响的用户报告问题,从目前网上流传的消息来看,甲骨文绝对没有在 72 小时内联系客户披露此问题,因此甲骨文的做法很有可能已经违反 GDPR 规定。
另外甲骨文还面临集体诉讼,因为已经有律师还是寻找受害方,如果最终律师找到多个受害方并愿意提起诉讼的话,甲骨文可能会面临更大的压力。至于甲骨文不承认数据泄露是没有任何意义的,只要发生了,最终无非是主动或者被迫承认。
