{"id":2585,"date":"2025-04-02T09:21:20","date_gmt":"2025-04-02T09:21:20","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2585"},"modified":"2025-04-02T09:21:20","modified_gmt":"2025-04-02T09:21:20","slug":"oracle-health-warnt-vor-datenleck","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2585","title":{"rendered":"Oracle Health warnt vor Datenleck"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
width=”2432″ height=”1368″ sizes=”(max-width: 2432px) 100vw, 2432px”>Hacker haben sich Zugriff auf Daten von Oracle Health verschafft.\n

Pincasso \u2013 shutterstock.com<\/p>\n<\/div>\n

W\u00e4hrend Oracle den Datenversto\u00df<\/a>, der in der vergangenen Woche ans Licht kam, \u00f6ffentlich abstreitet, informierte die Tochtergesellschaft Oracle Health k\u00fcrzlich betroffene Kunden \u00fcber ein Datenleck. Betroffen waren Daten von alten Datenmigrations-Server von Cerner, wie aus einem Bericht von<\/a> Bleeping Computer hervorgeht. Oracle hatte den IT-Dienstleister f\u00fcr das Gesundheitswesen, aus dem sp\u00e4ter Oracle Health hervorging, 2021 \u00fcbernommen.<\/p>\n

\u201eWir schreiben Ihnen, um Sie dar\u00fcber zu informieren, dass wir am oder um den 20. Februar 2025 auf ein Cybersicherheitsvorfall aufmerksam wurden, bei dem unbefugter Zugriff auf einen Teil Ihrer Cerner-Daten erfolgte, die sich auf einem alten Legacy-Server befanden, der noch nicht in die Oracle Cloud migriert worden war\u201c, hei\u00dft es in der Mitteilung von Oracle.<\/p>\n

Obwohl der Vorfall bei Oracle Health nichts mit dem mutma\u00dflichen Cloud-Versto\u00df beim Mutterkonzern zu tun hat, wirft er ernsthafte Bedenken hinsichtlich der Sicherheitspraktiken des Unternehmens auf. Insbesondere im Hinblick auf den Schutz sensibler Kundendaten.<\/p>\n

FBI untersucht den Vorfall<\/strong><\/h2>\n

Laut einem Bericht von Bloomberg<\/a> untersucht das FBI den Fall bei Oracle Health und die Versuche der Angreifer, betroffene medizinische Dienstleister zu erpressen. \u201eHacker sind in die Computersysteme von Oracle Corp. eingedrungen und haben Patientendaten gestohlen, um mehrere medizinische Dienstleister in den USA zu erpressen\u201c, hei\u00dft es in dem Bericht unter Berufung auf eine informierte Person. \u201cAllerdings ist nicht bekannt, wie viele Patientenakten entwendet wurden. Auch die Gesamtzahl der Gesundheitsdienstleister, die die Hacker zu erpressen versuchten, ist ungewiss.\u201c<\/p>\n

Die Kundenmitteilung deutet daraufhin, dass die Sicherheitsverletzung die Daten von Cerner betraf, bevor sie in die Oracle Cloud hochgeladen wurden. Ob es sich dabei um einen v\u00f6llig unabh\u00e4ngigen Fall handelt, ist jedoch angesichts des zeitlichen Ablaufs der beiden Vorf\u00e4lle und der Tatsache, dass die Sicherheitsverletzung bei den Gesundheitsdaten mit gestohlenen Logins erfolgte, nicht sicher.<\/p>\n

\u201eDie verf\u00fcgbaren Beweise deuten darauf hin, dass der Bedrohungsakteur sich illegal Zugang zur Umgebung verschafft hat, indem er gestohlene Login-Daten von Kunden verwendet hat\u201c, hei\u00dft es in dem Rundschreiben.<\/p>\n

Hintergrund zum Oracle-Cloud-Angriff<\/strong><\/h2>\n

Das Cybersicherheitsunternehmen CloudSEK berichtete als erster \u00fcber den Cloud-Angriff, bei dem ein Bedrohungsakteur namens \u201erose87168\u201c sechs Millionen Datens\u00e4tze verkaufte, die aus dem Single-Sign-On (SSO) und dem Lightweight Directory Access Protocol (LDAP) von Oracle Cloud exfiltriert wurden.<\/p>\n

W\u00e4hrend Oracle den Vorfall den Medien gegen\u00fcber schnell abstritt, wurden Daten, die als Beispiele f\u00fcr den Vorfall weitergegeben wurden, von mehreren Oracle-Kunden validiert. Dar\u00fcber hinaus demonstriert der Bedrohungsakteur gegen\u00fcber Bleeping Computer anhand einer URL von archive.org (http:\/\/login.us2.oraclecloud.com), dass er auch Schreibzugriff auf den Anmeldedienst, der Oracle Access Manager verwendet, hatte.<\/p>\n

Oracle \u00a0forderte \u00a0im Anschluss, dass Wayback Machine (Archive.org) die archivierte URL entfernen soll \u2013 ein Schritt, den unabh\u00e4ngige Cybersecurity-im Internet als Vertuschungsversuch kritisierten von Oracle. In der Zwischenzeit hat der Bedrohungsakteur<\/a> auch ein langes Video von einer internen Oracle-Besprechung ver\u00f6ffentlicht, das vermutlich aus dem Datenleck stammt und seine Behauptungen untermauert.<\/p>\n

\u201eIn der Cybersicherheit neutralisiert Leugnen die Gefahr nicht, Transparenz schon\u201c, erkl\u00e4rte Rahul Sassi, Mitbegr\u00fcnder und CEO von CloudSEK, gegen\u00fcber CSO. \u201cBei dieser Untersuchung geht es nicht um Schuldzuweisungen, sondern um Verantwortlichkeit. Es geht darum, jedes Sicherheitsteam, jeden Kunden und jeden Anbieter in der Lieferkette zu bef\u00e4higen, zu handeln, bevor es Angreifer tun.\u201c<\/p>\n

Zu den von der Sicherheitsverletzung betroffenen Daten geh\u00f6rten laut CloudSEK<\/a> JKS-Dateien, verschl\u00fcsselte SSO-Passw\u00f6rter, Schl\u00fcsseldateien und JPS-Schl\u00fcssel f\u00fcr Unternehmensmanager. W\u00e4hrend die SSO-Passw\u00f6rter mit anderen kompromittierten Dateien geknackt werden konnten, waren die LDAP-Passw\u00f6rter verschl\u00fcsselt und der Angreifer bat in seinem Post<\/a> um Hilfe bei der Entschl\u00fcsselung im Austausch gegen einige kompromittierte Daten. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

width=”2432″ height=”1368″ sizes=”(max-width: 2432px) 100vw, 2432px”>Hacker haben sich Zugriff auf Daten von Oracle Health verschafft. Pincasso \u2013 shutterstock.com W\u00e4hrend Oracle den Datenversto\u00df, der in der vergangenen Woche ans Licht kam, \u00f6ffentlich abstreitet, informierte die Tochtergesellschaft Oracle Health k\u00fcrzlich betroffene Kunden \u00fcber ein Datenleck. Betroffen waren Daten von alten Datenmigrations-Server von Cerner, wie aus einem Bericht […]<\/p>\n","protected":false},"author":0,"featured_media":2586,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2585","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2585"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2585"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2585\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2586"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2585"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2585"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2585"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}