Oracle ปฏิเสธคลาวด์โดนเจาะ นักวิจัยชี้อาจโดนจริง

เกิดประเด็นถกเถียงด้านความมั่นคงปลอดภัยครั้งใหม่ที่มี Oracle เป็นศูนย์กลาง หลังจากแฮกเกอร์อ้างว่าสามารถเจาะโครงสร้างพื้นฐานระบบคลาวด์ของบริษัทและขโมยข้อมูลสำคัญไปได้ แม้ว่า Oracle จะปฏิเสธการละเมิดดังกล่าว แต่นักวิจัยด้านความมั่นคงปลอดภัยบางรายระบุว่าหลักฐานบ่งชี้ไปอีกทิศทางหนึ่ง

เรื่องราวเริ่มต้นขึ้นเช่นเดียวกับเหตุการณ์แฮกครั้งใหญ่ทั่วไป นั่นคือบนฟอรัมแฮกชื่อดัง BreachForums โดยเมื่อวันที่ 20 มีนาคม แฮกเกอร์ที่ใช้ชื่อว่า “rose87168” อ้างว่าสามารถใช้ประโยชน์จากช่องโหว่ร้ายแรงใน Oracle Access Manager เพื่อเข้าถึง Oracle Cloud Infrastructure โดยอ้างว่าสามารถขโมยข้อมูลได้มากกว่า 6 ล้านรายการที่เกี่ยวข้องกับผู้เช่ากว่า 140,000 ราย ซึ่งรวมถึงข้อมูลรับรอง (credential), คีย์ OAuth2 และการตั้งค่าภายในของผู้เช่า

เมื่อรายงานเกี่ยวกับเหตุการณ์นี้เริ่มปรากฏขึ้นเมื่อสัปดาห์ก่อน โฆษกของ Oracle ให้สัมภาษณ์กับ The Register ว่า “ไม่มีการเจาะ Oracle Cloud” และ “ข้อมูลรับรองที่ถูกเผยแพร่ไม่ใช่ของ Oracle Cloud ลูกค้าของ Oracle Cloud ไม่มีใครได้รับผลกระทบหรือสูญเสียข้อมูล”

อย่างไรก็ตาม ทั้งแฮกเกอร์และผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบุเป็นเสียงเดียวกันว่าเรื่องนี้อาจไม่เป็นไปตามที่ Oracle กล่าวไว้

จากการวิจัยของ Trustwave Holdings พบว่าผู้โจมตีได้เสนอขายข้อมูลที่ถูกขโมยโดยมีตัวเลือกการซื้อหลายแบบ ซึ่งรวมถึงการจัดกลุ่มข้อมูลตามชื่อบริษัทและประเภทของข้อมูลรับรอง นอกจากนี้ยังมีการให้ตัวอย่างข้อมูลเพื่อสนับสนุนข้ออ้างของแฮกเกอร์ ซึ่งประกอบด้วยฐานข้อมูลที่มีข้อมูลส่วนบุคคล (Personally Identifiable Information – PII), ข้อมูล LDAP และรายชื่อบริษัทที่อาจได้รับผลกระทบ

ทีมข่าวกรองภัยคุกคามของ Trustwave ตั้งข้อสังเกตว่าโครงสร้างและเนื้อหาของข้อมูลตัวอย่างสอดคล้องกับสภาพแวดล้อมการใช้งานจริง โดยเฉพาะในระบบ SSO และ LDAP ของ Oracle ซึ่งหากเป็นของจริง จะหมายถึงการเปิดเผยข้อมูลรับรองที่มีความอ่อนไหวเป็นอย่างมาก และอาจนำไปสู่การโจมตีเพิ่มเติมผ่านการฟิชชิงหรือการเข้าถึงระบบโดยไม่ได้รับอนุญาต

ในบล็อกโพสต์เมื่อวันที่ 25 มีนาคม Trustwave เน้นย้ำว่า การปฏิเสธของ Oracle ยังไม่มีหลักฐานทางเทคนิคที่ชัดเจนมาหักล้างข้อกล่าวหา พร้อมแนะนำให้ลูกค้าอย่าเพิ่งมองข้ามข้อกล่าวอ้างดังกล่าว เนื่องจากมีผู้ใช้บางรายยืนยันว่าข้อมูลที่รั่วไหลบางส่วนเป็นข้อมูลจริง

นักวิจัยบางรายยังสนับสนุนว่าการละเมิดนี้เป็นของจริงเช่นกัน Jake Williams สมาชิกคณะวิจัยของ IANS Research และรองประธานฝ่ายวิจัยและพัฒนาที่ Hunter Strategy ให้สัมภาษณ์กับ Cybersecurity Dive ว่าเขา “แทบไม่มีข้อสงสัย” ว่ามีการละเมิดเกิดขึ้นในระบบของ Oracle

“มีหลักฐานโดยตรงว่าผู้โจมตีสามารถอัปโหลดข้อมูลไปยังเว็บรูทของเซิร์ฟเวอร์ล็อกอินที่ยังคงมีการใช้งานอยู่ ดังนั้นจึงไม่สามารถเป็นเพียง ‘ระบบเก่าที่ไม่ได้ใช้งาน’ อย่างที่บางคนกล่าวอ้าง” Williams กล่าว

แม้ว่า Oracle จะยังคงปฏิเสธว่ามีการละเมิดเกิดขึ้น และขอบเขตของเหตุการณ์ยังคงไม่ชัดเจน แต่หากข้ออ้างของแฮกเกอร์เป็นจริง ผลกระทบต่อองค์กรที่เกี่ยวข้องอาจร้ายแรง

Trustwave แนะนำว่าองค์กรควรดำเนินมาตรการเชิงรุกเพื่อความปลอดภัย เช่น เปลี่ยนข้อมูลรับรองที่อาจถูกเปิดเผย เปิดใช้การยืนยันตัวตนหลายปัจจัย (MFA) และเพิ่มการตรวจสอบกิจกรรมที่น่าสงสัย

ที่มา: https://siliconangle.com/2025/03/31/oracle-denies-cloud-breach-researchers-point-credible-indicators/