La société « Oracle » a confirmé en secret à ses clients qu’une partie de ses systèmes cloud avait été compromise.
Edward Kovacs, directeur du site « Security Week » spécialisé dans les nouvelles technologiques et particulièrement dans la cybersécurité, a rapporté dans un article publié sur ce même site que la société Oracle, spécialisée dans les bases de données, avait été victime d’une intrusion par un hacker utilisant le pseudonyme « rose87168 ». Ce dernier aurait vendu des millions de lignes de données qu’il prétendait être liées à plus de 140 000 clients d’Oracle Cloud, y compris des informations d’identification chiffrées. Le hacker aurait initialement tenté de faire chanter l’entreprise pour une somme de 20 millions de dollars, puis aurait proposé de vendre les données à quiconque intéressé ou de les échanger contre l’exploitation de vulnérabilités « zero-day ».
Dans son article, Kovacs écrit qu’après les allégations du hacker, Oracle a fermement nié tout accès non autorisé à son système cloud, affirmant : « Il n’y a eu aucune violation d’Oracle Cloud, les informations d’identification publiées ne sont pas liées au système cloud, et aucun de nos clients n’a été compromis ou n’a perdu de données. »
Cependant, le hacker a continué à partager divers types d’informations pour étayer ses affirmations, y compris un échantillon de 10 000 enregistrements de données clients, un fichier indiquant l’accès aux systèmes cloud d’Oracle, ainsi que des identifiants et des mots de passe, sans oublier une longue vidéo qui semble avoir été enregistrée lors d’une réunion interne de l’entreprise.
Plusieurs entreprises de sécurité ont indiqué que les informations divulguées semblent authentiques et relatives à un environnement opérationnel réel, et certains clients d’Oracle Cloud ont confirmé que leurs données faisaient partie de la fuite.
Kovacs a ajouté dans son article que « Security Week » avait demandé à plusieurs reprises un commentaire officiel à Oracle, mais que l’entreprise n’avait délivré qu’une déclaration préliminaire niant toute violation.
Néanmoins, plusieurs rapports indiquent qu’Oracle a commencé à informer secrètement les clients concernés qu’une violation de données avait eu lieu, mais les détails restent flous, et il semble qu’il y ait des informations contradictoires, ajoute l’auteur de l’article.
Selon Bloomberg, des sources bien informées ont rapporté qu’Oracle avait informé ses clients d’une violation de données impliquant des noms d’utilisateur, des clés d’accès et des mots de passe chiffrés, et que le FBI ainsi que la société CrowdStrike enquêtaient sur cet incident.
De plus, certaines sources ont indiqué qu’Oracle avait averti les clients que l’incident concernait un environnement ancien qui n’avait pas été utilisé depuis huit ans, et que les informations d’identification divulguées ne constituaient pas un danger significatif. Un autre informateur a signalé que certaines des données compromises remontent à l’année 2024.
Pour sa part, l’entreprise de cybersécurité Cyber Angel a révélé que la violation avait touché les serveurs de première génération (Gen 1), tandis que les serveurs de deuxième génération (Gen 2) n’avaient pas été affectés, et que les données divulguées dataient d’au moins 16 mois sans inclure de détails personnels complets.
L’entreprise a ajouté qu’une source anonyme avait confirmé que le hacker avait pénétré le système d’identité unifiée d’Oracle en janvier 2025 en exploitant une vulnérabilité dans le langage Java datant de 2020, où il aurait réussi à installer un « web shell » et des logiciels malveillants pour voler les données de la base de données de gestion des identités de l’entreprise. Selon cette source, Oracle a découvert la violation en février dernier et a réussi à expulser le hacker en mars, après avoir reçu une première demande de rançon.
En revanche, le hacker prétend que des données de l’année 2025 auraient également été volées.
De son côté, le chercheur en cybersécurité Kevin Beaumont a noté que les notifications d’Oracle aux clients étaient uniquement verbales, sans aucune documentation écrite. Il estime que la référence aux serveurs de « première génération » pourrait signifier des systèmes Oracle Classic, permettant ainsi à l’entreprise d’utiliser un « langage tordu » pour nier l’intrusion dans son système cloud actuel.
Beaumont a déclaré : « Oracle essaie de jouer avec les mots pour échapper à ses responsabilités. C’est inacceptable. Ils doivent clairement expliquer ce qui s’est passé, comment cela a impacté les clients et quelles mesures ont été prises. »
Par ailleurs, des rapports ont fait état d’une autre violation de données impliquant Oracle Health, où des informations sur des patients provenant de plusieurs organisations de santé américaines auraient été volées, selon le site Bleeping Computer.
