Oracle, kendi SaaS hizmetinde yaşanan ciddi güvenlik olayını gizlemeye çalıştı

 (doublepulsar.com)
4 puan yazan GN⁺ 2025-04-01 | 2 yorum | WhatsApp'ta paylaş
  • Oracle tarafından yönetilen bir SaaS hizmetinde ciddi bir siber güvenlik olayı yaşandığı, ancak Oracle'ın bunu müşterilere bildirmeyip gizlemeye çalıştığına dair işaretlerin ortaya çıktığı belirtiliyor
  • Bulut hizmeti sağlayıcıları için siber güvenlik olaylarını şeffaf biçimde açıklamak zorunlu olsa da Oracle bunun yerine ihlali inkâr etti

Olayın özeti ve hackerın iddiaları

  • 21 Mart 2025'te hacker rose87168, *.oraclecloud.com içindeki bazı Oracle hizmetlerinin ihlal edildiğini öne sürdü
  • Oracle hemen resmi olarak “Oracle Cloud ihlal edilmedi” diyerek bunu reddetti ve ilgili kimlik bilgilerinin Oracle Cloud ile ilgisi olmadığını savundu
  • Ancak hacker, login.us2.oraclecloud.com sunucusunda yazma yetkisine sahip olduğunu kanıtlayan bağlantılar ve materyaller sundu
    • Söz konusu sunucu Oracle Access Manager tabanlı ve doğrudan Oracle tarafından yönetilen bir sistem

Sızıntı kanıtları ve iç toplantı kaydı

  • Hacker, Oracle iç toplantısına ait bir ses kaydını (2 saatlik) yayımladı
  • Hacker ayrıca Oracle'ın web sunucusu yapılandırma dosyaları ve iç sistem ayarlarını içeren ek materyaller de yayımladı
    • Sızdırılan veriler arasında müşteri şirket çalışanlarının e-posta adresleri gibi gerçek veriler bulunuyor

Oracle'ın yanıtı ve kelime oyunu

  • Oracle, “Oracle Cloud” hizmetlerinde sorun olmadığını savunurken kapsamı daraltmak için adlandırmayı eski hizmete (Oracle Classic) kaydırmaya çalıştı
  • Bu durum, gerçek etki alanını gizlemeye dönük bir kelime oyunu (wordsmithing) olarak yorumlanıyor
  • Archive.org'dan kanıt materyallerinin kaldırılmasını istedi ancak ikinci URL'yi kaldırmadığı için içerik hâlâ erişilebilir durumda

Güvenlik topluluğunun tepkisi ve özet

  • Güvenlik uzmanları ve medya Oracle'ın yaklaşımını eleştirdi
    • Oracle'ın müşteri verilerini işleyen hizmetler işletirken güven ve şeffaflık sorumluluğundan kaçındığı ifade ediliyor
  • Etkilendiği doğrulanan hizmetler, Oracle'ın doğrudan işlettiği bulut altyapısı üzerinde çalışıyor
  • Bunun yalnızca teknik bir sorun değil, aynı zamanda kurumsal sorumluluk ve etik meselesi olduğu vurgulanıyor

Temel özet

  • Hacker, Oracle bulut hizmetlerinin içine sızarak gerçek veriler ve sistem bilgileri elde edip sızdırdı
  • Oracle bunu kabul etmedi ve terimlerle oynayarak olayın kapsamını küçültmeye çalıştı
  • Güvenlik uzmanları Oracle'dan açık ve kamuya dönük bir açıklama ile müşterileri korumaya yönelik önlemler talep ediyor

İlgili okumalar

2 yorum

 
jjpark78 2025-04-01

Oracle, bildiğimiz Oracle’lığını yaptı
 
GN⁺ 2025-04-01
Hacker News görüşleri
  • Oracle müşterisiyseniz, bu olay muhtemelen sizin için çok da önemli olmayacaktır. Oracle'ı seçme nedeniniz iyi bir ürün ya da iyi bir şirket olması değil, yöneticilerin gayriresmî anlaşmalarıdır
  • Güvenlik olayları son yıllarda sıradanlaştı. Oracle bunu kabul etseydi birkaç gün içinde unutulurdu. Ancak olay giderek daha da derinleşiyor
  • Bir güvenlik olayı sırasında en azından asgari düzeyde bilgi bile verilmiyorsa, neden o şirketle çalışılması gerektiği sorgulanır. Oracle'ın nihai hedefinin ne olduğu merak ediliyor
  • Oracle'ın bu olayın yaşanmadığından gerçekten emin olup olmadığı, yoksa logların mı bulunmadığı merak ediliyor. Bunun basit bir yalandan ibaret olup olmadığı düşünülüyor
  • Son zamanlarda bu kadar sert şekilde inkâr eden bir şirket görülmedi. Ars Technica'ya göre Oracle sözcüsü anonim olarak açıklama vermeye çalıştı ancak bu kabul edilmedi
  • Eyalet yasaları güvenlik ihlali durumunda müşterilerin bilgilendirilmesini şart koşuyor, ancak yaptırım gücü zayıf olduğu için göz ardı ediliyor. Federal bir yasa gerekiyor
  • Ağırlıklı olarak AWS kullanılıyor, ancak Oracle BDR LinkedIn üzerinden iletişime geçti. Olay raporu istendiğinde, Oracle Cloud'da ihlal olmadığına dair kısa bir yanıt alındı
  • Larry Ellison'ın Oracle veri güvenliği skandallarına bir örnek daha eklendi. Bu durum Larry'nin diğer siyasi ve toplumsal skandallarıyla da örtüşüyor
  • NetSuite, müşterilerin zarara uğraması hâlinde 12 aylık lisans ücretinin 5 katına kadar tazminat ödüyor
  • Hakikat sonrası çağ kafa karıştırıcı. Ancak bu, Oracle'ın standart davranışı gibi görünüyor
  • Oracle'ın uzun süreli müşterilerinden af dilemesinin zamanı geldi
  • Oracle'ın Archive.org'dan bir girdiyi kaldırabiliyor olması korkutucu