Teksas Eyaleti, bir sınıf davası açıldıktan sonra şu anda yasal bir yangın fırtınasının merkezinde yer alıyor. Oracle Corporation büyük bir bulut veri ihlali üzerinden. 31 Mart 2025’te ABD Teksas Batı Bölgesi Bölge Mahkemesinde bulunan şikayet, Oracle’ı hassas bilgileri koruyamamak ve etkilenen bireylere zamanında bildirim almamakla suçluyor.
Söz konusu ihlal İlk olarak hackread.com tarafından bildirildi “Rose87168” adlı takma adını kullanan bir hacker, ihlal forumlarında Ocak 2025’te Oracle’ın bulut altyapısına eriştiğini iddia etti. Hacker’a göre, tehlikeye atılan veriler, şifreli SSO şifrelerine, şifreli KeyStore, Java KeyStore (JKS) dosyaları, girişim yöneticileri, JPS Knps ve kullanıcı kimliklerinin JPS Kns ve kullanıcı kimliklerinin bağlandığını ve kullanıcı kimliklerini içeriyordu. Çalınan veri kümesinin yaklaşık 6 milyon kullanıcıya bağlı bilgileri içerdiği söyleniyor.
Oracle, ihlali açıkça reddetti ve daha da ayrıntılı olarak ayrılmayı reddetti. Ancak, bir siber güvenlik firması olan CloudSek, kendi soruşturmasını yürüttü ve bir ihlalin “kesin kanıtı” bulundu. 31 Mart 2025’te hacker, iç LDAP kayıtları ve Oracle’ın Cloud ortamından kısmi kimlik bilgileri de dahil olmak üzere ihlal forumlarında ek kanıt yayınladı.
Hackread.com, Oracle şeffaflık sağlayana kadar ihlali tam olarak teyit edemeyeceğini belirtmesine rağmen, bir forum yöneticisinin verilerin özgünlüğünü doğruladığı bildirildi.
Oracle davası
. sınıf davası 31 Mart 2025 tarihinde, özel bilgilerinin Oracle’ın yazılımını kullanan bir sağlık hizmeti sağlayıcısı aracılığıyla Oracle’ın sistemlerinde saklandığını iddia eden davacı Michael Toikach tarafından dosyalandı. Şikayet, Oracle’ın endüstri standartları güvenlik uygulamalarını karşılayamadığını ve şirketi ihmal, güvene dayalı görev ihlal etmek, haksız zenginleştirme ve üçüncü taraf faydalanıcı sözleşmelerinin ihlali ile suçladığını savunuyor.
Toikach, haberlerin kırılmasından bu yana finansal ve tıbbi hesaplarını izlemek için büyük zaman harcamak zorunda olduğunu iddia ediyor. Dava ayrıca Oracle’ın, kuruluşların bir ihlali onayladıktan sonraki 60 gün içinde etkilenen bireyleri bilgilendirmelerini gerektiren Texas Eyalet Yasasına uymadığını belirtiyor. Oracle, dosyalama tarihi gibi bir bildirim yapmamıştır.
Bahisleri yükselten şey, tehlikeye atılan verilerin doğasıdır. Şikayet, sızıntının sadece kişisel olarak tanımlanabilir bilgileri (PII) değil, aynı zamanda hassas sağlık verilerini de içerdiğini vurgulamaktadır. Oracle’ın bazı sağlık müşterileri müşterileri uyarmaya başladığını, ancak sessizce bir hasta veri ihlali hakkında bildiren Bloomberg ve Hipaa Journal dahil olmak üzere birçok kaynaktan bahsediyor. Hacker’ın görevleri, etkilenen şirketlerin tam listesini yayınlamakla tehdit etti ve çalışan kayıtlarının kaldırılması için ödeme yapmaları durumunda belirli kuruluşları hariç tutmayı teklif etti.
Şikayet, uygun şifreleme, zayıf ağ izleme ve ihlalin zamanında tespit edilmemesi veya yanıt vermemesi de dahil olmak üzere Oracle tarafından iddia edilen başarısızlıkların uzun bir listesini özetlemektedir. Ayrıca, Oracle’ın şirketin herhangi bir ihlali gereksiz gecikmeden bildireceğini belirten kendi kamu gizlilik politikalarına işaret ediyor, davanın iddia ettiği bir şey.
Telafi edici hasarlar, kredi izleme hizmetleri ve Oracle’ın veri güvenliği altyapısında reformlar ile sınıf eylemi, Oracle’ın yıllar içinde karşılaştığı en önemli yasal zorluklardan biri olacak şekilde şekilleniyor. Dava, bulut hizmet sağlayıcılarının hesap verebilirliği ve müşterilerin ve son kullanıcılarının hassas verilerini nasıl ele aldıkları konusunda tartışmayı yeniliyor.
Oracle henüz mahkemede yanıt vermedi.