Leren van Oracle: wat u niet moet doen na een datalek

Door Danny Bradbury • 27 May 2025

De eerste helft van dit jaar was niet bepaald rooskleurig voor Oracle en zijn klanten. Het bedrijf heeft te kampen gehad met twee ernstige datalekken. Dit is op zichzelf al een probleem, maar de echte vraag is hoe het met de inbraken is omgegaan.

Deskundigen hebben de databasegigant zwaar bekritiseerd vanwege de slechte manier waarop ze inbreuken openbaar maakte. Ze zouden bijvoorbeeld niet gecommuniceerd hebben en de boodschap verdraaien toen ze de inbreuk eenmaal hadden opgebiecht.

Inbreuk nummer één

De problemen begonnen medio februari toen het bedrijf vernam dat aanvallers toegang hadden gekregen tot gegevens op servers van Cerner, een bedrijf dat elektronische patiëntendossiers beheert. Cerner, dat Oracle in 28 voor 2022 miljard dollar overnam, had een lopend contract met het Amerikaanse Ministerie van Veteranenzaken. Oracle hoorde ongeveer een maand na de aanval over de aanval.

A class action-rechtszaak Eind maart werd een klacht ingediend tegen Oracle, waarin het bedrijf werd berispt voor de verkeerde aanpak van het incident.

"Het gebrek aan melding verergert de omstandigheden voor slachtoffers van het datalek", aldus de aanklacht. De aanklacht luidde dat niemand op de hoogte was gesteld van het incident of was meegedeeld of de dreiging was ingedamd. Evenmin werd uitgelegd hoe de inbraak plaatsvond.

Een nieuwe inbreuk treft

Toen kwam er een tweede inbreuk aan het licht. Op 21 maart meldde cybersecuritybedrijf CloudSEK ontdekt een dreigingsactor met de naam 'rose87168' die de gegevens online verkoopt.

De gegevens werden gestolen van 140,000 getroffen cloud-tenants, aldus de geheimzinnige criminele leverancier, die beweerde het systeem te hebben betreden via een Oracle Cloud-inlog-endpoint. CloudSEK ontdekte dat ze misbruik maakten van een instance van Oracle Fusion Middleware 11G, die voor het laatst in 2014 werd gepatcht. De gedumpte bestanden omvatten Java Key Store-bestanden met cryptografische certificaten, samen met gecodeerde wachtwoorden en sleutelbestanden voor eenmalige aanmelding.

Dat is behoorlijk ernstig voor klanten, maar Oracle heeft in de begindagen van de inbreuk blijkbaar vrijwel geen informatie vrijgegeven, behalve de bewering dat het alleen oudere servers had getroffen. Het bedrijf vertelde Bleeping Computer: "Er is geen inbreuk op Oracle Cloud geweest. De gepubliceerde inloggegevens zijn niet voor Oracle Cloud. Geen enkele Oracle Cloud-klant heeft een inbreuk meegemaakt of gegevens verloren."

Deskundigen waren het hier echter niet mee eens. rose87168 stelde een steekproef van de gegevens beschikbaar aan Alon Gal, medeoprichter van het beveiligingsadviesbureau Hudson Rock. Gal gecontacteerd bedrijven op de lijst om de gegevens te verifiëren. De klanten gaven aan dat de bestanden die afkomstig zouden zijn van Oracle Cloud, legitiem waren.

CloudSEK ook publiceerde een vervolgartikel bewijs dat het eindpunt rose87168 het overnam was een productie-entiteit.

Oracle nam uiteindelijk privé contact op met een aantal klanten en meldde dat er een beveiligingsincident was opgetreden bij hun Gen 1-servers. Gen 1-servers zijn oude machines die nu draaien op wat bekendstaat als Oracle Cloud Classic. Gen 2-servers, die extra functionaliteit bevatten, heten Oracle Cloud.

Dit alles betekent dat, als je de letterlijke ontkenning van Oracle strikt volgt, alleen Oracle Cloud Classic-servers gehackt zijn, niet Oracle Cloud-servers. Maar we vermoeden dat de markt in het algemeen liever een volledige, open discussie had gehad over wat er gebeurd was, dan te maken te hebben met een zwijgzame leverancier die slechts de minimale informatie prijsgaf.

Wie heeft de gearchiveerde pagina verwijderd?

Hier wordt het pas echt schandalig. rose87168 had ook een tekstbestand geüpload naar het gecompromitteerde Oracle-eindpunt en een screenshot ervan gepubliceerd als bewijs dat ze de controle hadden over de asset. Een momentopname van het bewijs van de compromittering werd opgeslagen op de Wayback Machine, een dienst die wordt gehost door het Internet Archive. Deze dienst bewaart kopieën van websites voor het nageslacht nadat ze verdwenen zijn. Die gearchiveerde pagina zou echter verwijderd door gebruik te maken van het uitsluitingsproces van het Archief.

"Dit is Oracle die actief bewijs van een inbraak verbergt", aldus beveiligingsonderzoeker Jake Williams in zijn bericht over de verwijdering van X. "Dit is iemand die in 1990 de handboeken voor inbraken uit de jaren 2025 uitvoert."

We kunnen niet bewijzen wie die pagina heeft verwijderd, maar de hele affaire is desalniettemin een uitstekende les in hoe je niet moet omgaan met een datalek van een bedrijf dat vastbesloten is zijn merk te beschermen. races om zijn aandeel te vergroten van de lucratieve cloud computing-business.

Hoe je het goed doet

Hoe moet u omgaan met de melding van een datalek? Frameworks zoals de Computer Security Incident Handling Guide van NIST en ISO 27001 bieden brede richtlijnen voor het melden van incidenten. Belangrijke punten zijn:

Communiceer snel en nauwkeurig: Breng de betrokkenen zo snel mogelijk op de hoogte zodra een incident is bevestigd en de omvang ervan duidelijk is. Regelgeving vereist tegenwoordig vaak ten minste een eerste melding binnen een strak tijdsbestek, en dat wordt in veel gevallen verplicht.

Coördineer uw reactie: Zorg ervoor dat de communicatie gebaseerd is op feiten en gecoördineerd is, zodat niemand iets onthult wat niet bevestigd is. Bespreek daarom vooraf wie met de verschillende stakeholders, waaronder klanten, toezichthouders, medewerkers, contractanten en de pers, zal communiceren. Door de communicatie via hen te laten verlopen, zorgt u ervoor dat iedereen de interne communicatieketen begrijpt.

Weet wat u moet communiceren: Hoewel niet alles in de beginfase beschikbaar zal zijn, zouden meldingen uiteindelijk een samenvatting moeten bevatten van wat er is gebeurd, samen met welke gegevens zijn gecompromitteerd en welke maatregelen er worden genomen om het probleem te beperken en te voorkomen dat het zich opnieuw voordoet. Getroffenen moeten ook weten wat ze kunnen doen om zichzelf te beschermen.

Communiceer niet te weinig: Niet alle informatie zal direct openbaar worden, maar u moet zo openhartig mogelijk zijn en te goeder trouw communiceren. Zoals de FTC opmerkt: "Doe geen misleidende uitspraken over de inbreuk. En houd geen belangrijke details achter die consumenten kunnen helpen zichzelf en hun gegevens te beschermen." We streven naar open communicatie, niet naar spin. Beschouw dit niet als een vijandig proces.

Communicatiesjablonen definiëren: Het ontwikkelen van vooraf goedgekeurde berichtensjablonen zorgt ervoor dat de communicatie soepel en consistent blijft. De FTC heeft een voorbeeld.

In lijn met toezichthouders: Verschillende rechtsgebieden (zowel internationaal, nationaal als lokaal) hebben hun eigen regels over hoe en wanneer u verschillende belanghebbenden moet informeren. Dat geldt ook voor verschillende sectoren. Werk samen met uw advocaten om ervoor te zorgen dat u zich aan deze regels houdt.

Blijf verantwoordelijk: Net als in het dagelijks leven verwachten volwassenen van elkaar dat ze hun fouten erkennen en herstellen. Zorg ervoor dat klanten voldoende ondersteuning krijgen. Dit kan effectieve communicatie en specifieke hulp bij het oplossen van inbreuken omvatten, inclusief tools om u te beschermen. Het is veelzeggend dat CloudSEK, en niet Oracle, een tool heeft uitgebracht waarmee bedrijven kunnen bepalen of hun gegevens op de lijst met gestolen records staan.

Dit is niet de enige keer dat Oracle kritiek krijgt op zijn aanpak van cyberbeveiligingsproblemen. Deze omvatten: trage reacties naar meldingen van beveiligingsfouten in haar producten en de tirade van de CSO tegen beveiligingsonderzoekers die haar bug-rapporten stuurden, wat zoveel kritiek opleverde dat het bedrijf verwijderdDe organisatie heeft duidelijk haar eigen manier van werken en we weten zeker dat dit niet de laatste keer zal zijn dat dit voor opschudding zorgt in de techsector.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury