Oracle พยายามปกปิดเหตุการณ์ความปลอดภัยร้ายแรงที่เกิดขึ้นในบริการ SaaS ของตน

 (doublepulsar.com)
4 คะแนน โดย GN⁺ 2025-04-01 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • เกิด เหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ร้ายแรง ในบริการ SaaS ที่ Oracle ดูแล แต่มีหลักฐานบ่งชี้ว่า Oracle พยายามปกปิดโดยไม่แจ้งลูกค้า
  • ผู้ให้บริการคลาวด์จำเป็นต้อง เปิดเผยเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์อย่างโปร่งใส แต่ Oracle กลับปฏิเสธความเสียหายที่เกิดขึ้น

ภาพรวมเหตุการณ์และข้อกล่าวอ้างของแฮ็กเกอร์

  • เมื่อวันที่ 21 มีนาคม 2025 แฮ็กเกอร์ rose87168 อ้างว่าได้เจาะบางบริการของ Oracle ภายใต้ *.oraclecloud.com
  • Oracle ปฏิเสธอย่างเป็นทางการในทันทีว่า “Oracle Cloud ไม่ได้ถูกเจาะ” และอธิบายว่าข้อมูลรับรองที่เกี่ยวข้องนั้นไม่เกี่ยวกับ Oracle Cloud
  • อย่างไรก็ตาม แฮ็กเกอร์ได้ให้ ลิงก์และข้อมูลที่พิสูจน์ว่าตนมีสิทธิ์เขียนบนเซิร์ฟเวอร์ login.us2.oraclecloud.com
    • เซิร์ฟเวอร์ดังกล่าว ทำงานบน Oracle Access Manager และเป็น ระบบที่ Oracle ดูแลโดยตรง

หลักฐานการรั่วไหลและเสียงบันทึกการประชุมภายใน

  • แฮ็กเกอร์เผยแพร่ ไฟล์เสียงบันทึกการประชุมภายในของ Oracle (ความยาว 2 ชั่วโมง)
  • แฮ็กเกอร์ยังเผยแพร่ข้อมูลเพิ่มเติม รวมถึง ไฟล์คอนฟิกเว็บเซิร์ฟเวอร์ของ Oracle และ การตั้งค่าระบบภายใน
    • ข้อมูลที่รั่วไหลมี ข้อมูลจริง เช่น อีเมลพนักงานของบริษัทลูกค้า รวมอยู่ด้วย

การตอบสนองของ Oracle และการเล่นคำ

  • Oracle ยืนยันว่าบริการ “Oracle Cloud” ไม่มีปัญหา พร้อมทั้งพยายามหลบเลี่ยงขอบเขตของเหตุการณ์ด้วยการเปลี่ยนชื่อไปเป็น บริการรุ่นเก่า (Oracle Classic)
  • สิ่งนี้ถูกตีความว่าเป็น การเล่นคำเพื่อปกปิดขอบเขตความเสียหายที่แท้จริง (wordsmithing)
  • แม้จะยื่นคำขอให้ Archive.org ลบหลักฐาน แต่ URL ที่สองไม่ได้ถูกลบและยังเข้าถึงได้อยู่

ปฏิกิริยาจากชุมชนความปลอดภัยและสรุป

  • ผู้เชี่ยวชาญด้านความปลอดภัยและสื่อต่างวิจารณ์การตอบสนองของ Oracle
    • Oracle ดำเนินบริการที่จัดการข้อมูลลูกค้า แต่กลับ หลีกเลี่ยงความรับผิดชอบด้านความเชื่อถือและความโปร่งใส
  • บริการที่ยืนยันว่ากระทบคือโครงสร้างพื้นฐานคลาวด์ที่ Oracle ดำเนินการเอง
  • นี่ไม่ใช่แค่ปัญหาทางเทคนิค แต่เป็น ประเด็นเรื่องความรับผิดชอบและจริยธรรมขององค์กร

สรุปประเด็นสำคัญ

  • แฮ็กเกอร์เจาะเข้าสู่ภายในบริการคลาวด์ของ Oracle และทำให้ข้อมูลจริงกับข้อมูลระบบรั่วไหล
  • Oracle ไม่ยอมรับเรื่องดังกล่าว และพยายามลดทอนขอบเขตของเหตุการณ์ด้วยการเล่นคำ
  • ผู้เชี่ยวชาญด้านความปลอดภัยเรียกร้องให้ Oracle ชี้แจงอย่างชัดเจนต่อสาธารณะและออกมาตรการคุ้มครองลูกค้า

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
jjpark78 2025-04-01

Oracle ก็ยังเป็น Oracle เหมือนเดิม
 
GN⁺ 2025-04-01
ความคิดเห็นบน Hacker News
  • หากคุณเป็นลูกค้าของ Oracle เหตุการณ์นี้คงไม่ได้สำคัญมากนัก เหตุผลที่เลือก Oracle คงไม่ใช่เพราะเป็นผลิตภัณฑ์ที่ดีหรือเป็นบริษัทที่ดี แต่เป็นเพราะดีลลับนอกทางการของผู้บริหาร
  • เหตุการณ์ด้านความปลอดภัยกลายเป็นเรื่องที่พบได้บ่อยในช่วงไม่กี่ปีมานี้ ถ้า Oracle ยอมรับเรื่องนี้แต่แรก ก็คงถูกลืมไปภายในไม่กี่วัน แต่ตอนนี้เรื่องกลับยิ่งลุกลึกขึ้นเรื่อย ๆ
  • หากเมื่อเกิดเหตุด้านความปลอดภัยแล้วยังไม่ให้ข้อมูลแม้แต่น้อย ก็อดสงสัยไม่ได้ว่าทำไมถึงต้องทำงานกับบริษัทนี้ และเป้าหมายสุดท้ายของ Oracle คืออะไรกันแน่
  • สงสัยว่า Oracle มั่นใจจริงหรือไม่ว่าเหตุการณ์นี้ไม่เคยเกิดขึ้น หรือว่าไม่มี log กันแน่ เลยอดคิดไม่ได้ว่าสถานการณ์นี้อาจไม่ใช่แค่การโกหกธรรมดา
  • ช่วงหลังมานี้ไม่เคยเห็นบริษัทไหนปฏิเสธอย่างแข็งกร้าวขนาดนี้ ตามรายงานของ Ars Technica โฆษกของ Oracle พยายามจะให้แถลงการณ์แบบไม่เปิดเผยชื่อ แต่ถูกปฏิเสธ
  • กฎหมายของแต่ละรัฐกำหนดให้ต้องแจ้งลูกค้าเมื่อเกิดการละเมิดความปลอดภัย แต่การบังคับใช้ไม่เข้มแข็งจึงถูกเพิกเฉย จำเป็นต้องมีกฎหมายระดับรัฐบาลกลาง
  • ปกติใช้ AWS เป็นหลัก แต่ Oracle BDR ติดต่อมาทาง LinkedIn จึงขอรายงานเหตุการณ์ไป และได้รับคำตอบสั้น ๆ ว่า Oracle Cloud ไม่ได้ถูกเจาะ
  • นี่เป็นอีกหนึ่งกรณีในคดีอื้อฉาวด้านการสแกนความปลอดภัยข้อมูลของ Oracle ภายใต้ Larry Ellison ซึ่งสอดคล้องกับคดีอื้อฉาวทางการเมืองและสังคมอื่น ๆ ของ Larry
  • NetSuite ชดเชยให้ลูกค้าได้สูงสุด 5 เท่าของค่าไลเซนส์ 12 เดือน หากลูกค้าเกิดความเสียหาย
  • ยุค post-truth ชวนให้สับสน แต่เรื่องนี้ก็ดูเหมือนเป็นพฤติกรรมมาตรฐานของ Oracle
  • ถึงเวลาแล้วที่ Oracle ควรขออภัยต่อลูกค้าระยะยาวของตน
  • น่ากลัวที่ Oracle สามารถลบรายการออกจาก Archive.org ได้