למידה מאורקל: מה לא לעשות לאחר פרצת נתונים

מאת דני ברדבורי • 27 מאי 2025

המחצית הראשונה של השנה לא הייתה שמחה עבור אורקל או עבור לקוחותיה. החברה סבלה משתי פרצות אבטחה חמורות. זוהי בעיה מספקת בפני עצמה, אך הבעיה האמיתית היא כיצד היא טיפלה בפריצות.

מומחים גינו את ענקית מסדי הנתונים על נוהג גילוי גרוע של פרצות, כולל כישלון בתקשורת ועיוות המסר כאשר "הודתה".

הפרה מספר אחת

בעיותיה של החברה החלו באמצע פברואר, כאשר נודע לה שתוקפים ניגשו לנתונים בשרתים של חברת רישומי הבריאות האלקטרוניים סרנר. לסרנר, שאורקל רכשה תמורת 28 מיליארד דולר בשנת 2022, היה חוזה מתמשך עם משרד לענייני חיילים משוחררים של ארה"ב. אורקל שמעה על המתקפה כחודש לאחר שהתרחשה.

A תביעה ייצוגית בתביעה שהוגשה נגד אורקל בסוף מרץ נזפה בחברה על טיפול לקוי בתקרית.

"היעדר ההודעה מחמיר את הנסיבות עבור קורבנות הפרת הנתונים", נכתב בתביעה, שהתלוננה כי לא הודיעה לאף אחד על האירוע או אמרה להם אם הצליחה להכיל את האיום. כמו כן, לא הסביר כיצד התרחשה הפריצה.

עוד פרצה פוגעת

לאחר מכן, פרצה שנייה נחשפה. ב-21 במרץ, חברת אבטחת הסייבר CloudSEK גילה גורם איום בשם 'rose87168' מוכר את הנתונים באינטרנט.

הנתונים נגנבו מ-140,000 דיירי ענן שנפגעו, על פי ספק פלילי סודי, שטען כי חדר למערכת דרך נקודת קצה של כניסה ל-Oracle Cloud. CloudSEK גילה כי הם ניצלו מופע של Oracle Fusion Middleware 11G, שתוקן לאחרונה בשנת 2014. הנכסים שהושלכו כוללים קבצי Java Key Store המכילים תעודות קריפטוגרפיות, יחד עם סיסמאות כניסה יחידה מוצפנות וקבצי מפתח.

זה די רציני עבור הלקוחות, אבל אורקל כנראה לא פרסמה כמעט שום מידע בימים הראשונים של הפריצה, מלבד הטענה שהיא השפיעה רק על שרתים מדור קודם. אמר לי מחשב מצפצף: "לא הייתה פרצה ל-Oracle Cloud. האישורים שפורסמו אינם עבור Oracle Cloud. אף לקוח Oracle Cloud לא חווה פרצה או איבד נתונים."

עם זאת, מומחים לא הסכימו. rose87168 העמיד מדגם של הנתונים לרשות אלון גל, מייסד שותף של חברת הייעוץ האבטחתי הדסון רוק. גל צור קשר חברות ברשימה כדי לאמת את הנתונים. הלקוחות אמרו שהקבצים שנאמר כי הגיעו מ-Oracle Cloud היו לגיטימיים.

גם CloudSEK פרסם מאמר המשך להוכיח שנקודת הקצה של rose87168 השתלטה עליה הייתה ישות ייצור.

בסופו של דבר, אורקל יצרה קשר באופן פרטי עם כמה לקוחות, ודיווחה כי שרתי דור 1 שלה סבלו מתקרית אבטחה. שרתי דור 1 הם מכונות ישנות המשרתות כיום את מה שמכונה Oracle Cloud Classic. שרתי דור 2, המכילים תכונות נוספות, נקראים Oracle Cloud.

כל זה אומר שאם מקפידים בקפדנות על ניסוח ההכחשה של אורקל, רק שרתי Oracle Cloud Classic נגנזו, ולא שרתי Oracle Cloud. אבל אנחנו חושדים שהשוק, באופן כללי, היה מעדיף דיון מלא ופתוח על מה שקרה מאשר להתמודד עם ספק חסום שפתיים שחשף רק את המינימום ההכרחי של מידע.

מי מחק את הדף המאוחסן בארכיון?

כאן הדברים מסתבכים במיוחד. rose87168 גם העלה קובץ טקסט לנקודת הקצה של Oracle שנפרצה ופרסם צילום מסך שלו כהוכחה לכך שהם שלטו בנכס. תמונת מצב של ראיות לפריצה אוחסנה ב-Wayback Machine, שירות המתארח על ידי ארכיון האינטרנט. שירות זה מאחסן עותקים של אתרי אינטרנט לדורות הבאים לאחר שהם נעלמים. עם זאת, לכאורה, דף זה שהועבר לארכיון... הוסר באמצעות תהליך ההדרה של הארכיון.

"זוהי אורקל שמסתירה באופן פעיל ראיות לפריצה", אמר חוקר האבטחה ג'ייק וויליאמס בפוסט שלו שדיווח על הסרה של X. "זה מישהו שמבצע את ספרי ההנחיות של הפריצה משנות ה-1990 בשנת 2025."

אנחנו לא יכולים להוכיח מי הסיר את הדף הזה, אבל כל העניין הזה הוא בכל זאת שיעור מצוין כיצד לא להתמודד עם פרצת נתונים מצד חברה שנחושה להגן על המותג שלה. מרוצים כדי להגדיל את חלקה של עסקי מחשוב הענן הרווחיים.

איך לעשות את זה נכון

אז איך כדאי לטפל בגילוי פרצות? מסגרות כמו מדריך הטיפול באירועי אבטחת מחשב של NIST ו-ISO 27001 מכילות הנחיות כלליות לדיווח על אירועים. נקודות מפתח כוללות:

תקשרו במהירות ובדייקנות: יש להודיע לצדדים שנפגעו בהקדם האפשרי לאחר אישור אירוע והבנת היקפו. תקנות דורשות כיום לעתים קרובות לפחות דיווחים ראשוניים במסגרת חלון זמן מצומצם, וזה הופך לחובה במקרים רבים.

תיאמו את תגובתכם: שמרו על תקשורת מבוססת עובדות ומתואמת כדי שאף אחד לא יחשוף דבר שלא אושר. לשם כך, הבינו מראש מי ידבר עם בעלי העניין השונים, כולל לקוחות, רגולטורים, עובדים, קבלנים והתקשורת. העברת המסרים דרכם מבטיחה שכולם מבינים את שרשרת התקשורת הפנימית.

דעו מה לתקשר: אמנם לא הכל יהיה זמין בימים הראשונים, אך ההודעות צריכות בסופו של דבר לכלול סיכום של מה שקרה, יחד עם אילו נתונים נפגעו ואילו פעולות ננקטות כדי לצמצם את הבעיה ולמנוע ממנה להתרחש שוב. אנשים שנפגעו צריכים גם לדעת מה עליהם לעשות כדי להגן על עצמם.

אל תתקשרו מעט מדי: לא כל המידע ייצא מיד, אך עליכם להיות ישירים ככל האפשר ולתקשר בתום לב. כפי שמציין ה-FTC: "אל תצהירו הצהרות מטעות לגבי ההפרה. ואל תסתירו פרטים מרכזיים שעשויים לעזור לצרכנים להגן על עצמם ועל המידע שלהם." אנו מחפשים תקשורת פתוחה, לא ספינים. אל תתייחסו לזה כתהליך עוין.

הגדרת תבניות תקשורת: פיתוח תבניות העברת הודעות שאושרו מראש מסייע לשמור על תקשורת חלקה ועקבית. ה-FTC יש דוגמה.

יישור קו עם הרגולטורים: לתחומי שיפוט שונים (בינלאומיים, לאומיים ומקומיים כאחד) יהיו כללים משלהם לגבי אופן ומתי להודיע לבעלי עניין שונים. כך גם לתעשיות שונות. עבדו עם עורכי הדין שלכם כדי לוודא שאתם פועלים לפי כללים אלה.

הישאר אחראי: בדיוק כמו בחיי היומיום, מבוגרים מצפים זה מזה לקחת אחריות על טעויותיהם ולתקן אותן. ודאו שללקוחות יש תמיכה נאותה. זה עשוי לכלול תקשורת יעילה ועזרה ספציפית סביב תיקון פרצות, הכוללת כלים שיעזרו להגן עליכם. זה אומר ש-CloudSEK, ולא Oracle, הוציאו כלי לחברות כדי לקבוע אם הנתונים שלהן נמצאים ברשימת הרשומות הגנובות.

זו לא הפעם היחידה שאורקל ספגה ביקורת על גישתה לטיפול בבעיות אבטחת סייבר. אלה כוללים תגובות איטיות לדיווחים על פגמי אבטחה במוצריה ולטענותיה של ה-CSO נגד חוקרי אבטחה ששלחו לה דוחות באגים, מה שספג ביקורת כה רבה עד שהחברה מחק אותולארגון יש בבירור דרך משלו לעשות דברים, ואנחנו בטוחים שזו לא תהיה הפעם האחרונה שהוא גורם לסערה בתעשיית הטכנולוגיה.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.