Datenleck: Umgang mit Cyberangriff mündet in Sammelklage gegen Oracle
Der US-amerikanische IT-Konzern Oracle schweigt sich seit Wochen über einen Cyberangriff aus, bei dem Kundendaten abgeflossen sind. Obwohl Betroffene die Echtheit der Daten bereits bestätigten , gab es seitens des Unternehmens abgesehen von einem ersten Dementi bisher kein offizielles Statement zu dem Vorfall. Jetzt gibt es wegen dieser Zurückhaltung eine erste Klage gegen den Konzern.
Wie Hackread berichtet(öffnet im neuen Fenster) , handelt es sich um eine Sammelklage, die am 31. März bei einem Bezirksgericht im US-Bundesstaat Texas eingereicht wurde. Der Initiator der Klage wirft Oracle unter anderem vor, vertrauliche Daten unzureichend geschützt und betroffene Personen nicht fristgerecht über den Datenabfluss informiert zu haben.
In Texas sind Unternehmen dazu verpflichtet, betroffene Personen nach einem Sicherheitsverstoß innerhalb von 60 Tagen über den Vorfall zu unterrichten. Der Klageschrift (PDF) zufolge(öffnet im neuen Fenster) ereignete sich der Datenabfluss am 22. Januar und damit mehr als die besagten 60 Tage vor Einreichung der Klage. Die gesetzlich geforderte Benachrichtigung der Betroffenen soll aber ausgeblieben sein.
Branchenübliche Sicherheitspraktiken missachtet
Laut Sicherheitsforschern von CloudSEK(öffnet im neuen Fenster) flossen die Daten wahrscheinlich über eine schon seit Jahren bekannte Sicherheitslücke in der Oracle Fusion Middleware 11g ab. Die Instanz, auf welche der Angreifer nachweislich Zugriff hatte, wurde demnach zuletzt im Jahr 2014 aktualisiert. Infolgedessen gelangten den Angaben zufolge mehr als sechs Millionen Datensätze von Oracle-Kunden in die Hände eines Cyberkriminellen, der sich rose87168 nennt.
In der Klage wird Oracle deshalb vorgeworfen, fahrlässig gehandelt und die branchenüblichen Sicherheitspraktiken nicht eingehalten zu haben. Es werden zudem mehrere Versäumnisse des Konzerns benannt, etwa das Fehlen einer angemessenen Verschlüsselung, eine mangelhafte Netzwerküberwachung sowie das Versäumnis, den Verstoß rechtzeitig zu erkennen oder darauf zu reagieren.
Die Forderungen der Klage umfassen unter anderem Schadenersatz, dessen Höhe im Rahmen der Gerichtsverhandlungen bestimmt werden soll, sowie eine Verbesserung der Sicherheitsmaßnahmen in den Systemen von Oracle inklusive jährlich durchzuführender Audits.
Wie man nicht mit Datenlecks umgeht
Der unabhängige Sicherheitsforscher Kevin Beaumont kritisierte erst kürzlich in einem Blogbeitrag(öffnet im neuen Fenster) die Kommunikation seitens Oracle. Der Konzern habe durch eine sehr spezifische Wortwahl versucht, "sich vor der Verantwortung zu drücken" . In seinem von Bleeping Computer veröffentlichten(öffnet im neuen Fenster) Dementi erklärte das Unternehmen nämlich explizit, dass es bei der "Oracle Cloud" kein Datenleck gegeben habe.
Tatsächlich gibt es aber nicht nur die eine Oracle Cloud, sondern neben der moderneren Oracle Cloud Infrastructure (OCI) auch noch den Vorgänger, den der Konzern in Oracle Classic umbenannt hat. Auf letzteres System bezieht sich das Datenleck, wenngleich hinter beiden Begriffen von Oracle betriebene Cloudsysteme stecken. "Das ist nicht in Ordnung" , betonte Beaumont angesichts dieser Wortklauberei.
Dan Goodin, ein Security-Reporter des Tech-Magazins Ars Technica, teilte zudem auf Mastodon(öffnet im neuen Fenster) eine äußerst fragwürdige Reaktion des Unternehmens auf eine Presseanfrage zu dem Datenleck. Demnach bot ein PR-Mitarbeiter des Konzerns eine Stellungnahme nur unter der Bedingung an, dass diese in keiner Weise Oracle zugeschrieben würde. Goodin lehnte jedoch ab, woraufhin der Mitarbeiter die Stellungnahme verweigerte.