In der vergangenen Woche wurde bekannt, dass aus einer Cyberattacke stammende Daten von rund 140.000 Oracle-Kunden im Darknet von einem Nutzer namens "rose87168" zum Verkauf angeboten wurden. Insgesamt soll es dabei um circa sechs Millionen Datensätze gehen.
Oracle hatte den Berichten widersprochen und versichert, dass es keine Attacke auf die Oracle Cloud gegeben habe. Auch nachdem betroffene Kunden die Echtheit ihrer Daten, die vom Angreifer auszugsweise bereitgestellt worden waren, gegenüber BleepingComputer bestätigt hatten, gab es von Oracle kein offizielles Statement.
Der Sicherheitsforscher Kevin Beaumont kritisierte daraufhin in einem Blogbeitrag die Kommunikation des Unternehmens. Oracle habe mit der Bezeichnung “Oracle Cloud” Wortklauberei betrieben, um sich vor seiner Verantwortung zu drücken. Betroffen sei tatsächlich nicht die moderne Oracle Cloud Infrastructure (OCI), auf die sich das Unternehmen bezieht, sondern ihr Vorgänger Oracle Classic.
Diese Art des Umgangs mit dem Vorfall hat nun zu einer Klage gegen das Unternehmen geführt. Wie das IT-News-Portal Golem.de berichtet, wurde laut Hackread am 31. März eine Sammelklage bei einem texanischen Bezirksgericht eingereicht. Oracle wird darin vorgeworfen, sowohl vertrauliche Daten unzureichend geschützt als auch Betroffene nicht fristgerecht über das Datenleck informiert zu haben – in Texas besteht für Unternehmen nach einem Sicherheitsvorfall die Pflicht, die Betroffenen innerhalb von 60 Tagen darüber zu informieren. Laut der Klageschrift (PDF-Datei) ereignete sich der Vorfall bereits am 22. Januar 2025. Eine Benachrichtigung sei aber bis Einreichung der Klage und somit mehr als 60 Tage nach dem Vorfall ausgeblieben.
Die Sicherheitsforscher von CloudSEK gehen davon aus, dass die Angreifer sich eine seit Jahren bekannte Sicherheitslücke in der Oracle Fusion Middleware 11g zunutze machten. Sie hätten dabei Zugriff auf eine Instanz gehabt, die zuletzt 2014 aktualisiert worden war. So werden Oracle in der Klage nun Fahrlässigkeit und die Nicht-Einhaltung von Sicherheitspraktiken vorgeworfen. Das Unternehmen habe es zudem versäumt, das Datenleck rechtzeitig zu erkennen und angemessen darauf zu reagieren.
