Aprendiendo de Oracle: Qué no hacer después de una filtración de datos

El primer semestre de este año no ha sido feliz para Oracle ni para sus clientes. La compañía ha sufrido dos graves filtraciones de datos. Esto ya es un problema de por sí, pero el verdadero problema reside en cómo ha gestionado las intrusiones.

Los expertos han criticado duramente al gigante de las bases de datos por sus malas prácticas en la divulgación de infracciones, incluyendo la falta de comunicación y la distorsión del mensaje cuando sí las confesó.

Incumplimiento número uno

Los problemas de la empresa comenzaron a mediados de febrero al descubrir que atacantes habían accedido a datos de los servidores de Cerner, empresa de historiales médicos electrónicos. Cerner, adquirida por Oracle por 28 2022 millones de dólares en XNUMX, tenía un contrato vigente con el Departamento de Asuntos de Veteranos de EE. UU. Oracle se enteró del ataque aproximadamente un mes después de que ocurriera.

A demanda colectiva La demanda presentada contra Oracle a finales de marzo reprendió a la empresa por gestionar mal el incidente.

“La falta de notificación agrava las circunstancias de las víctimas de la filtración de datos”, afirma la demanda, quejándose de no haber notificado a nadie sobre el incidente ni haberles informado si había podido contener la amenaza. Tampoco explicó cómo se produjo la intrusión.

Otra brecha golpea

Luego, se reveló una segunda brecha. El 21 de marzo, la empresa de ciberseguridad CloudSEK descubierto CRISPR un actor de amenazas llamado 'rose87168' que vende los datos en línea.

Los datos fueron robados de 140,000 usuarios de la nube afectados, según su sigiloso proveedor criminal, quien afirmó haber accedido al sistema a través de un endpoint de inicio de sesión de Oracle Cloud. CloudSEK descubrió que habían explotado una instancia de Oracle Fusion Middleware 11G, cuyo último parche se había aplicado en 2014. Los activos robados incluyen archivos de Java Key Store que contienen certificados criptográficos, además de contraseñas cifradas de inicio de sesión único y archivos de claves.

Esto es bastante grave para los clientes, pero al parecer Oracle no publicó prácticamente ninguna información en los primeros días de la filtración, aparte de afirmar que solo afectó a servidores antiguos. La empresa... les dijo a Bleeping Computer: «No se ha producido ninguna vulneración de Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos».

Sin embargo, los expertos no estuvieron de acuerdo. rose87168 puso una muestra de los datos a disposición de Alon Gal, cofundador de la consultora de seguridad Hudson Rock. Gal contactado Las empresas de la lista verificaron los datos. Los clientes afirmaron que los archivos supuestamente provenientes de Oracle Cloud eran legítimos.

CloudSEK también publicó un artículo de seguimiento demostrando que el punto final que rose87168 tomó era una entidad de producción.

Oracle finalmente contactó a algunos clientes de forma privada para informarles que sus servidores Gen 1 habían sufrido un incidente de seguridad. Los servidores Gen 1 son máquinas antiguas que ahora ofrecen Oracle Cloud Classic. Los servidores Gen 2, que incluyen funciones adicionales, se denominan Oracle Cloud.

Todo esto significa que, si se sigue al pie de la letra la negación de Oracle, solo se piratearon los servidores Oracle Cloud Classic, no los servidores Oracle Cloud. Sin embargo, sospechamos que el mercado, en general, habría preferido un debate abierto y exhaustivo sobre lo sucedido en lugar de lidiar con un proveedor hermético que solo reveló la mínima información posible.

¿Quién eliminó la página archivada?

Aquí es donde la cosa se pone especialmente turbia. rose87168 también había subido un archivo de texto al endpoint de Oracle comprometido y publicó una captura de pantalla como prueba de que controlaban el activo. Una instantánea de la evidencia del compromiso se almacenó en Wayback Machine, un servicio alojado por Internet Archive. Este servicio almacena copias de sitios web para la posteridad después de que desaparecen. Sin embargo, esa página archivada supuestamente... remoto utilizando el proceso de exclusión del Archivo.

"Oracle está ocultando activamente la evidencia de una intrusión", declaró el investigador de seguridad Jake Williams en su publicación donde informaba sobre el desmantelamiento de X. "Es alguien que está ejecutando estrategias de vulneración de los años 1990 en 2025".

No podemos probar quién eliminó esa página, pero todo el asunto es, no obstante, una excelente lección sobre cómo no manejar una filtración de datos de una empresa empeñada en proteger su marca. corre para aumentar su cuota del lucrativo negocio de la computación en la nube.

Cómo hacerlo bien

Entonces, ¿cómo se debe gestionar la divulgación de infracciones? Marcos como la Guía de Manejo de Incidentes de Seguridad Informática del NIST y la norma ISO 27001 ofrecen directrices generales para la comunicación de incidentes. Los puntos clave incluyen:

Comunicarse con prontitud y precisión: Notificar a las partes afectadas lo antes posible una vez confirmado el incidente y comprendido su alcance. La normativa actual suele exigir al menos informes iniciales en un plazo ajustado, y esto se está volviendo obligatorio en muchos casos.

Coordine su respuesta: Mantenga las comunicaciones basadas en hechos y coordinadas para que nadie revele nada que no esté confirmado. Para ello, determine con antelación quién hablará con las distintas partes interesadas, como clientes, reguladores, empleados, contratistas y la prensa. Canalizar los mensajes a través de ellos garantiza que todos comprendan la cadena de comunicación interna.

Sepa qué comunicar: Aunque no toda la información estará disponible al principio, las notificaciones deberían incluir un resumen de lo sucedido, junto con los datos comprometidos y las medidas que se están tomando para mitigar el problema y evitar que vuelva a ocurrir. Las personas afectadas también deben saber qué hacer para protegerse.

No te comuniques demasiado poco: No toda la información se publicará de inmediato, pero debe ser lo más franco posible y comunicarse de buena fe. Como señala la FTC: «No haga declaraciones engañosas sobre la filtración. Y no oculte detalles clave que podrían ayudar a los consumidores a protegerse a sí mismos y a su información». Buscamos una comunicación abierta, no engañosa. No lo considere un proceso contencioso.

Definir plantillas de comunicación: Desarrollar plantillas de mensajes preaprobadas ayuda a mantener una comunicación fluida y consistente. La FTC tiene un ejemplo.

Alinearse con los reguladores: Cada jurisdicción (tanto internacional como nacional y local) tendrá sus propias normas sobre cómo y cuándo notificar a las distintas partes interesadas. Al igual que las diferentes industrias. Colabore con sus abogados para asegurarse de cumplirlas.

Manténgase responsable: Al igual que en la vida cotidiana, los adultos esperan que los demás asuman sus errores y los corrijan. Asegúrese de que los clientes reciban el apoyo adecuado. Esto puede incluir una comunicación eficaz y ayuda específica para la remediación de brechas de seguridad, incluyendo herramientas que les ayuden a protegerse. Es significativo que CloudSEK, y no Oracle, haya lanzado una herramienta para que las empresas determinen si sus datos figuraban en la lista de registros robados.

Esta no es la única ocasión en que Oracle ha recibido críticas por su enfoque en la gestión de problemas de ciberseguridad. Entre ellas se incluyen: respuestas lentas a los informes de fallas de seguridad en sus productos y la diatriba de la CSO contra los investigadores de seguridad que le enviaron informes de errores, que tuvieron tanta repercusión que la empresa lo borróLa organización claramente tiene su propia manera de hacer las cosas, y estamos seguros de que esta no será la última vez que cause consternación en la industria tecnológica.