Oracle Diduga Berupaya Menutupi Insiden Keamanan Serius yang Terjadi di Layanan SaaS-nya

 (doublepulsar.com)
4 poin oleh GN⁺ 2025-04-01 | 2 komentar | Bagikan ke WhatsApp
  • Insiden keamanan siber serius terjadi di layanan SaaS yang dikelola Oracle, namun muncul indikasi bahwa Oracle berusaha menutupinya tanpa memberi tahu pelanggan
  • Penyedia layanan cloud wajib mengungkapkan insiden keamanan siber secara transparan, tetapi Oracle justru membantah adanya dampak

Ringkasan insiden dan klaim peretas

  • Pada 21 Maret 2025, peretas rose87168 mengklaim telah membobol sebagian layanan Oracle di *.oraclecloud.com
  • Oracle segera secara resmi membantah dengan menyatakan “tidak ada pelanggaran pada Oracle Cloud”, dan menjelaskan bahwa kredensial terkait tidak berhubungan dengan Oracle Cloud
  • Namun, peretas tersebut memberikan tautan dan materi yang membuktikan bahwa ia memiliki izin tulis pada server login.us2.oraclecloud.com
    • Server tersebut berbasis Oracle Access Manager dan merupakan sistem yang dikelola langsung oleh Oracle

Bukti kebocoran dan rekaman rapat internal

  • Peretas mempublikasikan file rekaman rapat internal Oracle (durasi 2 jam)
  • Peretas juga mempublikasikan materi tambahan yang mencakup file konfigurasi web server Oracle dan pengaturan sistem internal
    • Data yang bocor mencakup data nyata seperti alamat email karyawan perusahaan pelanggan

Respons Oracle dan permainan istilah

  • Sambil bersikeras bahwa layanan “Oracle Cloud” tidak bermasalah, Oracle diduga mencoba menghindari cakupan insiden dengan mengubah penamaan ke layanan lama (Oracle Classic)
  • Ini ditafsirkan sebagai manipulasi kata (wordsmithing) untuk menutupi cakupan kerusakan yang sebenarnya
  • Oracle meminta Archive.org menghapus materi bukti, tetapi URL kedua tidak dihapus sehingga masih bisa diakses

Reaksi komunitas keamanan dan ringkasan

  • Pakar keamanan dan media mengkritik respons Oracle
    • Oracle mengoperasikan layanan yang menangani data pelanggan namun menghindari tanggung jawab atas kepercayaan dan transparansi
  • Layanan yang dipastikan terdampak merupakan infrastruktur cloud yang dioperasikan langsung oleh Oracle
  • Ini bukan sekadar masalah teknis, melainkan juga masalah akuntabilitas dan etika perusahaan

Ringkasan inti

  • Peretas menyusup ke dalam layanan cloud Oracle dan membocorkan data nyata serta informasi sistem
  • Oracle tidak mengakuinya dan diduga mencoba memperkecil cakupan insiden lewat permainan istilah
  • Pakar keamanan mendesak Oracle untuk memberikan penjelasan yang jelas dan terbuka serta langkah perlindungan pelanggan

Bacaan terkait

2 komentar

 
jjpark78 2025-04-01

Oracle memang tetap Oracle.
 
GN⁺ 2025-04-01
Komentar Hacker News
  • Jika Anda adalah pelanggan Oracle, insiden ini kemungkinan tidak akan terlalu penting. Alasan memilih Oracle bukan karena produknya bagus atau perusahaannya baik, melainkan karena adanya kesepakatan informal dari pihak eksekutif
  • Insiden keamanan sudah menjadi hal yang umum dalam beberapa tahun terakhir. Jika Oracle mengakuinya, kemungkinan besar ini akan dilupakan dalam beberapa hari. Namun, kasus ini justru makin dalam
  • Jika saat terjadi insiden keamanan tidak ada informasi minimal yang diberikan, patut dipertanyakan mengapa harus bekerja sama dengan perusahaan itu. Saya jadi penasaran apa tujuan akhir Oracle
  • Saya bertanya-tanya apakah Oracle benar-benar yakin insiden ini tidak terjadi, atau memang tidak ada log. Saya mempertimbangkan apakah situasi ini bukan sekadar kebohongan biasa
  • Sudah lama saya tidak melihat perusahaan menyangkal sesuatu sekeras ini. Menurut Ars Technica, juru bicara Oracle mencoba memberikan pernyataan secara anonim, tetapi ditolak
  • Undang-undang negara bagian memang mewajibkan pelanggan diberi tahu saat terjadi pelanggaran keamanan, tetapi penegakannya lemah sehingga sering diabaikan. Diperlukan undang-undang federal
  • Saya terutama menggunakan AWS, tetapi BDR Oracle menghubungi saya lewat LinkedIn. Saya meminta laporan insiden, namun hanya menerima jawaban singkat bahwa tidak ada pelanggaran di Oracle Cloud
  • Satu lagi contoh ditambahkan ke skandal keamanan data Oracle milik Larry Ellison. Ini sejalan dengan skandal politik dan sosial Larry lainnya
  • NetSuite memberi kompensasi kepada pelanggan hingga 5 kali biaya lisensi 12 bulan jika pelanggan mengalami kerugian
  • Era post-truth terasa membingungkan. Namun, ini tampak seperti perilaku standar Oracle
  • Sudah saatnya Oracle meminta maaf kepada para pelanggan lamanya
  • Menakutkan bahwa Oracle bisa menghapus entri dari Archive.org