Oracle ने अपनी SaaS सेवा में हुई गंभीर सुरक्षा घटना को छिपाने की कोशिश की

 (doublepulsar.com)
4 पॉइंट द्वारा GN⁺ 2025-04-01 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • Oracle द्वारा प्रबंधित SaaS सेवा में एक गंभीर साइबर सुरक्षा घटना हुई, लेकिन संकेत मिले हैं कि Oracle ने ग्राहकों को बताए बिना इसे छिपाने की कोशिश की
  • क्लाउड सेवा प्रदाताओं के लिए साइबर सुरक्षा घटनाओं का पारदर्शी खुलासा अनिवार्य है, लेकिन Oracle ने उल्टा नुकसान की बात से इनकार किया

घटना का सार और हैकर का दावा

  • 21 मार्च 2025 को हैकर rose87168 ने *.oraclecloud.com के भीतर कुछ Oracle सेवाओं में सेंध लगाने का दावा किया
  • Oracle ने तुरंत आधिकारिक रूप से कहा, “Oracle Cloud में कोई breach नहीं हुआ”, और बताया कि संबंधित credentials का Oracle Cloud से कोई संबंध नहीं है
  • लेकिन हैकर ने login.us2.oraclecloud.com सर्वर पर write access होने का सबूत देने वाले लिंक और सामग्री साझा की
    • यह सर्वर Oracle Access Manager आधारित है और Oracle द्वारा सीधे प्रबंधित सिस्टम है

लीक के सबूत और आंतरिक बैठक की रिकॉर्डिंग

  • हैकर ने Oracle की आंतरिक बैठक की रिकॉर्डिंग फ़ाइल (2 घंटे की) सार्वजनिक की
  • हैकर ने Oracle के web server configuration files और आंतरिक सिस्टम settings सहित अतिरिक्त सामग्री भी सार्वजनिक की
    • लीक हुए डेटा में ग्राहक कंपनियों के कर्मचारियों के email addresses जैसे वास्तविक डेटा शामिल हैं

Oracle की प्रतिक्रिया और शब्दों का खेल

  • Oracle ने दावा किया कि “Oracle Cloud” सेवा में कोई समस्या नहीं थी, जबकि वह दायरा टालने के लिए पुरानी सेवा (Oracle Classic) नाम का इस्तेमाल करता दिखा
  • इसे वास्तविक नुकसान के दायरे को छिपाने की शब्द-चाल (wordsmithing) के रूप में देखा जा रहा है
  • Archive.org से सबूत सामग्री हटाने का अनुरोध किया गया, लेकिन दूसरा URL नहीं हटाया गया, इसलिए वह अब भी उपलब्ध है

सुरक्षा समुदाय की प्रतिक्रिया और सार

  • सुरक्षा विशेषज्ञों और मीडिया ने Oracle की प्रतिक्रिया की आलोचना की
    • Oracle ग्राहक डेटा संभालने वाली सेवाएँ चलाते हुए भरोसे और पारदर्शिता की जिम्मेदारी से बच रहा है
  • प्रभावित सेवा Oracle द्वारा सीधे संचालित क्लाउड इन्फ्रास्ट्रक्चर थी
  • यह सिर्फ तकनीकी समस्या नहीं, बल्कि कॉरपोरेट जवाबदेही और नैतिकता का मामला है

मुख्य सार

  • हैकर ने Oracle क्लाउड सेवा के भीतर घुसपैठ कर वास्तविक डेटा और सिस्टम जानकारी लीक की
  • Oracle ने इसे स्वीकार नहीं किया और शब्दों के खेल से घटना के दायरे को छोटा दिखाने की कोशिश की
  • सुरक्षा विशेषज्ञ Oracle से स्पष्ट, सार्वजनिक स्पष्टीकरण और ग्राहकों की सुरक्षा के उपाय की मांग कर रहे हैं

संबंधित पढ़ाई

2 टिप्पणियां

 
jjpark78 2025-04-01

Oracle ने फिर वही किया।
 
GN⁺ 2025-04-01
Hacker News राय
  • अगर आप Oracle के ग्राहक हैं, तो संभव है कि यह घटना आपके लिए बहुत मायने न रखे। Oracle को चुनने का कारण अच्छा प्रोडक्ट या अच्छी कंपनी नहीं, बल्कि प्रबंधन के अनौपचारिक सौदे रहे होंगे
  • हाल के वर्षों में security incidents आम हो गए हैं। अगर Oracle ने इसे स्वीकार कर लिया होता, तो शायद कुछ दिनों में यह बात भुला दी जाती। लेकिन अब मामला लगातार गहराता जा रहा है
  • अगर security incident होने पर कम-से-कम न्यूनतम जानकारी भी नहीं दी जाती, तो सवाल उठता है कि ऐसी कंपनी के साथ काम ही क्यों किया जाए। Oracle का अंतिम लक्ष्य क्या है, यह समझ नहीं आता
  • यह सवाल है कि क्या Oracle को पूरा भरोसा है कि यह घटना हुई ही नहीं, या फिर logs ही मौजूद नहीं हैं। लगता है मामला सिर्फ झूठ बोलने से भी आगे का हो सकता है
  • हाल में किसी कंपनी को इतनी आक्रामक तरीके से इनकार करते नहीं देखा। Ars Technica के अनुसार, Oracle के प्रवक्ता ने गुमनाम रूप से बयान देने की कोशिश की थी, लेकिन उसे ठुकरा दिया गया
  • राज्य कानून security breach होने पर ग्राहकों को सूचित करने की मांग करते हैं, लेकिन enforcement कमजोर होने के कारण उन्हें नज़रअंदाज़ कर दिया जाता है। संघीय कानून की ज़रूरत है
  • मैं मुख्य रूप से AWS इस्तेमाल करता हूँ, लेकिन Oracle के BDR ने LinkedIn के ज़रिए संपर्क किया। मैंने incident report मांगी, लेकिन जवाब में बस इतना कहा गया कि Oracle Cloud में कोई breach नहीं हुआ
  • Larry Ellison के Oracle data security scandal में यह एक और मामला जुड़ गया है। यह Larry के दूसरे राजनीतिक और सामाजिक scandals से मेल खाता है
  • NetSuite ग्राहकों को नुकसान होने पर 12 महीने की license fees के 5 गुना तक मुआवज़ा देता है
  • post-truth दौर बेहद उलझाने वाला है। फिर भी यह Oracle के सामान्य व्यवहार जैसा ही लगता है
  • Oracle के लिए अब समय आ गया है कि वह अपने लंबे समय से जुड़े ग्राहकों से माफी मांगे
  • यह डरावना है कि Oracle Archive.org से items हटवा सकता है