Oracle a informé ses clients la semaine dernière qu’un acteur malveillant est parvenu à compromettre son système informatique et à voler de vieux identifiants de connexion de clients. Peu de temps avant cela, d’autres violations de données avaient déjà été signalées.
Alors que le soleil est revenu, le printemps est orageux pour Oracle. Selon des informations de Bloomberg, qui cite deux personnes proches du dossier, dès le mois dernier, un acteur malveillant a mis en vente des données volées dans un ancien serveur cloud Oracle d’Austin (Texas) et a exigé le paiement d’une rançon.
Le FBI et l’entreprise de cybersécurité CrowdStrike enquêtent actuellement sur cette cyberattaque. D’après Bloomberg, des employés de l’entreprise américaine ont confirmé auprès de clients qu’un attaquant était effectivement parvenu à compromettre des données. L’environnement compromis n’était plus utilisé depuis huit ans, a indiqué Oracle. À noter toutefois que certains des identifiants volés dataient de 2024.
Courant mars, Oracle avait déjà été victime d’un premier incident qui avait compromis des données d’acteurs de la santé. Les données ont été volées depuis des serveurs d’Oracle Health (anciennement Cerner), une entreprise de logiciels SaaS de dossiers médicaux électroniques, et de systèmes de gestion pour les hôpitaux et organismes de santé. Bleeping Computer, qui a eu accès à des communications privées envoyées à des clients, a confirmé que des données patients ont fuité pendant l’attaque.
Des données de santé dans la nature
« Nous vous écrivons pour vous informer que, aux alentours du 20 février 2025, nous avons découvert un incident de cybersécurité impliquant un accès non autorisé à certaines de vos données Cerner se trouvant sur un ancien serveur non encore migré vers Oracle Cloud », a notifié l’entreprise.
L’acteur malveillant a utilisé des identifiants compromis pour entrer dans les serveurs dès janvier 2025 et copier des informations pouvant inclure des données de santé sensibles. Bleeping Computer indique que le pirate a créé des sites sur le clearnet afin de faire chanter les hôpitaux concernés, les exhortant à payer pour éviter la diffusion ou la vente des données.
Encore avant cela, en mars toujours, un pirate a affirmé posséder et mettre en vente 6 millions d’enregistrements de données volées sur des serveurs d’authentification SSO d’Oracle Cloud. Oracle a assuré que son infrastructure Oracle Cloud n’avait pas été compromise. Plus tard, Bleeping Computer écrit avoir appris que des échantillons de données volées ont été confirmés comme étant authentiques.
