Oracle Corporation, milyonlarca kullanıcının hassas verilerini içeren büyük çaplı bir bulut veri ihlali iddiası nedeniyle ABD’nin Texas eyaletinde açılan toplu dava ile sarsıldı. 31 Mart 2025’te Western District of Texas Federal Mahkemesi’ne sunulan dava dosyası, teknoloji devinin veri güvenliği konusundaki ihmallerini ve ihlal bildirimindeki gecikmelerini mercek altına alıyor.

Oracle Veri İhlalleri ile Karşı Karşıya

Siber güvenlik haber sitesi Hackread.com’un 22 Mart 2025’te yaptığı ilk habere göre, “rose87168” takma adlı bir hacker Ocak 2025’te Oracle’ın bulut altyapısına sızdığını iddia etti. Ele geçirilen veriler arasında:

• Şifrelenmiş Çoklu Oturum Açma (SSO) parolaları
• Java KeyStore (JKS) dosyaları
• Enterprise Manager JPS anahtarları
• Oracle Cloud SSO ve LDAP sistemlerine ait kullanıcı kimlik bilgileri bulunuyor.

Siber güvenlik firması CloudSEK’in yaptığı bağımsız araştırma, ihlal iddialarını doğrulayan kanıtlar bulduğunu öne sürdü. 31 Mart’ta hacker tarafından paylaşılan Oracle’ın dahili LDAP kayıtları ve kısmi kimlik bilgileri, veri sızıntısının boyutlarını gözler önüne serdi.

Davanın davacısı Florida sakini Michael Toikach, kişisel verilerinin bir sağlık kuruluşu aracılığıyla Oracle sistemlerinde depolandığını ve bu ihlalde açığa çıktığını iddia ediyor. Dava dosyasında öne çıkan iddialar:

1. Güvenlik Standartlarının İhlali: Oracle’ın endüstri standartlarının altında güvenlik önlemleri aldığı
2. Zamanında Bildirim Yapılmaması: Texas yasalarının gerektirdiği 60 günlük bildirim süresine uyulmadığı
3. Hassas Sağlık Verilerinin Riski: HIPAA kapsamındaki korumalı sağlık bilgilerinin açığa çıktığı

Oracle ihlal iddialarını resmi olarak reddetse de, Bloomberg ve HIPAA Journal gibi kaynaklar şirketin bazı sağlık kuruluşlarını sessizce uyardığını bildirdi. Hackerın forum paylaşımlarında, etkilenen şirket listesini yayınlamakla tehdit ettiği ve belirli kuruluşların verilerini çıkarmak için fidye talep ettiği iddia ediliyor.

Bu dava, bulut hizmet sağlayıcılarının veri koruma sorumluluklarını ve müşteri verilerini ne ölçüde güvende tutabildiklerini yeniden tartışmaya açıyor. Özellikle sağlık sektörü gibi hassas verilerin işlendiği alanlarda bulut güvenliği standartlarının gözden geçirilmesi gerektiğini ortaya koyuyor.