Mitte März wurde publik, dass bei Oracle möglicherweise Daten abgeflossen sind. Im berüchtigten Breachforum behauptete ein Nutzer mit dem Namen Rose87168, dass er die Server des amerikanischen Tech-Konzerns gehackt und dabei Daten von rund 6 Millionen Nutzerinnen und Nutzern aus dem Lightweight Directory Access Protocol (LDAP) sowie dem Single-Sign-On (SSO) gestohlen hat.

Oracle hingegen bestritt einen Cyberangriff. Anfang April kam es dann zur Kehrtwende: Der Tech-Konzern hat seine Kundinnen und Kunden darüber informiert, dass ein Hacker in ein Computersystem eingedrungen sei und "alte Anmeldedaten" gestohlen hat. Zur Beute sollen Benutzernamen, Passwörter und verschlüsselte Passwörter gehört haben.

Jetzt erklärte die amerikanische Cybersecurity-Behörde CISA, dass die Art der gemeldeten Aktivitäten ein potenzielles Risiko für Organisationen und Einzel­personen darstellen. "Insbesondere wenn das Material der Zugangs­daten offengelegt, in separaten, nicht angeschlossenen Systemen wieder­ver­wendet oder eingebettet werden kann".

Wenn die Anmeldeinformationen eingebettet sind, seien sie nur schwer zu entdecken und könnten über einen längeren Zeitraum einen unbefugten Zugriff ermöglichen, warnt die CISA. Mit den Logins können Hacker ihre Privilegien erweitern und sich in den Netzwerken bewegen. Zudem besteht auch die Gefahr für unerlaubte Zugriffe auf Cloud- und Identitäts­manage­ment­systeme, für Phishing-Kampagnen und die Kompromittierung von geschäftlichen E-Mails.

Die CISA fordert deshalb alle Organisationen dazu auf, die Passwörter für die betroffenen Dienste zurückzusetzen, den Quellcode auf mögliche Probleme zu überprüfen, die Authentifizierungsprotokolle auf abnormale Aktivitäten zu überwachen und mögliche Vorfälle umgehend den Behörden zu melden.