Az Oracle technológiai óriáscég komoly kritikákat kapott két különálló adatbiztonsági incidens kezelése kapcsán. Az egyik eset még mindig zajlik, annak ellenére, hogy az Oracle tagadja (a tényt?), ami szerint bármilyen adatbiztonsági probléma történt volna. A másik eset az Oracle Health egészségügyi leányvállalatát érinti, amely során betegadatok kerültek veszélybe.
Az Oracle Health adatvédelmi incidense
A legutóbb nyilvánosságra került eset az Oracle Health-hez kapcsolódik, amely kórházak és egészségügyi szolgáltatók számára biztosít technológiát az egészségügyi adatok online eléréséhez. Az Oracle Health a Cerner nevű elektronikus egészségügyi nyilvántartásokat kezelő vállalatból jött létre, amelyet az Oracle 2022-ben vásárolt meg 28 milliárd dollárért.
A Bloomberg és a Bleeping Computer jelentése szerint a támadás során betegadatok kerültek veszélybe, bár nem világos, hogy pontosan milyen típusú adatok szivárogtak ki, illetve mely szervezetek érintettek. Az Oracle márciusban értesítette néhány egészségügyi ügyfelét, hogy egy korábbi, 2025 elején történt incidens során hackerek hozzáfértek az Oracle szervereihez, és betegadatokat loptak el.
Az értesítés szerint a támadás egy régi, még nem az Oracle Cloud rendszerébe migrált szervert érintett. A Bleeping Computer szerint a támadók több millió dolláros váltságdíjat követelnek az érintett kórházaktól.
Egy névtelenséget kérő Oracle-alkalmazott elmondta, hogy a cég nem volt átlátható még a saját dolgozóival szemben sem. „A csapatom napokig nem tudott hozzáférni az ügyfelek rendszereihez. Nemcsak a betegadatok miatt aggódom, hanem azért is, mert a támadók hozzáférhettek más alkalmazásokhoz, például HR- és pénzügyi rendszerekhez is” – mondta az alkalmazott. Hozzátette, hogy a helyzetről csak Redditen és belső Slack-csatornákon keresztül tudott tájékozódni.
Az Oracle Cloud incidens tagadása
A másik adatbiztonsági incidens az Oracle Cloud szervereit érinti. Ebben az esetben is az Oracle átláthatóságának hiánya váltotta ki a kritikákat. Egy „rose87168” nevű hacker egy kiberbűnözői fórumon 6 millió Oracle Cloud-ügyfél adatait kínálta eladásra, beleértve hitelesítési adatokat és titkosított jelszavakat. A hacker bizonyítékként egy szövegfájlt töltött fel, amely az Oracle egyik szerverén volt elérhető.
Több Oracle-ügyfél megerősítette, hogy a hacker által megosztott adatminta valódi, ami tovább erősíti a gyanút, hogy az Oracle Cloud rendszere valóban sérült. Az Oracle azonban tagadta, hogy bármilyen adatbiztonsági probléma történt volna. „Nem történt adatbiztonsági incidens az Oracle Cloud rendszerében. Az állítólagos hitelesítési adatok nem az Oracle Cloudhoz tartoznak” – közölte a cég.
A kiberbiztonsági szakértők azonban szkeptikusak. Kevin Beaumont, egy elismert szakértő, blogbejegyzésében azt írta, hogy az Oracle megpróbálja „szavakkal manipulálni” a helyzetet, hogy elkerülje a felelősségvállalást.
Az Oracle-nek nyíltan és egyértelműen kommunikálnia kellene arról, hogy mi történt, hogyan érinti ez az ügyfeleket, és mit tesznek a helyzet megoldása érdekében – írta Beaumont.
Lisa Forte, egy másik kiberbiztonsági szakértő, a Bluesky platformon úgy fogalmazott, hogy ha ez igaznak bizonyul, és nehéz elképzelni, hogy ne lenne az, akkor ez rendkívül rossz fényt vet az Oracle-re.
Az átláthatóság hiánya és a bizalom kérdése
Mindkét eset rávilágít az Oracle átláthatóságának hiányára, amely nemcsak az ügyfelek, hanem a saját alkalmazottai körében is bizalomvesztést eredményezett. A szakértők szerint az ilyen incidensek kezelése során a nyílt kommunikáció és a felelősségvállalás kulcsfontosságú lenne, különösen egy olyan nagyvállalat esetében, amely kritikus infrastruktúrákat és érzékeny adatokat kezel.
Az Oracle-nek most komoly lépéseket kell tennie, hogy visszanyerje ügyfelei és partnerei bizalmát, különben hosszú távú károkat szenvedhet el mind üzleti, mind reputációs szempontból.
