image

Verkeerd geconfigureerde Oracle-servers lekken massaal data

zondag 19 oktober 2014, 14:10 door Redactie, 10 reacties

Verkeerd geconfigureerde Oracle-servers zijn de oorzaak dat de gevoelige gegevens van meer dan 100.000 mensen, alsmede vertrouwelijke gegevens van havens, verzekeringsbedrijven, overheidsinstanties en gezondheidsorganisaties, eenvoudig via het internet toegankelijk waren of nog steeds zijn. Het probleem speelt bij installaties van de Oracle Reports databaseserver waar beheerders de beveiligingscontrole niet hebben ingeschakeld. Een probleem dat al sinds 2012 bekend is.

Normaliter hoort de databaseserver alleen toegankelijk te zijn voor geautoriseerde gebruikers die de informatie binnen een vertrouwd, privénetwerk benaderen. Sommige databasebeheerders zouden de installaties niet goed hebben geconfigureerd, waardoor vertrouwelijke informatie via een Google-zoekopdracht te vinden is. De misconfiguratie zorgt er ook voor dat de diagnostische pagina openstaat, waar wachtwoord en gebruikersnaam zijn te vinden om databasegegevens te benaderen.

Toen Oracle ontdekte dat klanten de beveiligingscontrole niet inschakelden, verscheen er in 2012 een patch die de optie standaard inschakelde. Er zijn echter nog tal van installaties waar de update niet is uitgerold. Sommige experts laten tegenover de Washington Post weten dat ook Oracle een deel van de blaam treft. Het bedrijf zou software hebben uitgegeven die te lastig was om goed te gebruiken en standaardinstellingen had die de beveiliging verzwakten.

Reacties (10)
19-10-2014, 17:12 door Anoniem
Oracle is gewoon lekke shit. Als je dat aan het internet hangt dan ben je niet goed snik.
19-10-2014, 18:39 door Anoniem
Security blijft altijd het ondergeschoven kindje voor de grote jongens imho, zolang het op papier maar goed staat ;)
19-10-2014, 19:22 door Anoniem
Blijft er weinig over als je alles van Oracle uitsluit. Open Source is ook niet veilig. De veiligste IT oplossing is een Off power zonder enige verbinding zonder enig nut. Dat zal niet veel waarde toevoegen.
19-10-2014, 20:58 door Anoniem
ICT is nooit veilig ... papier in je brandveilige kluis werkt nog steeds stukken beter :þ
19-10-2014, 23:00 door Anoniem
Dit is de reden waarom Oracle in the laatste advisory een gerelateerde waarschuwing heeft opgenomen.

http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Oracle has received specific reports of malicious exploitation of vulnerabilities for which Oracle has already released fixes. etc.
20-10-2014, 08:31 door maboc
Door Anoniem: Oracle is gewoon lekke shit. Als je dat aan het internet hangt dan ben je niet goed snik.
Dan zou ik eerder denken aan oracle-beheerders die de systemen open laten staan creeeren "lekke shit". Dat is in denk ik ook in bovenstaande het geval.
20-10-2014, 10:31 door Anoniem
Verbaast me niks.

Na een tijd wordt je als administrator moe van het getalm van een vendor. Verder is er ook de overheersende 'dreiging' van management technieken als je dergelijke praktijken al als een 'techniek' mag benoemen. Het is eerder te vergelijken met kwakzalverij of oorlogje spelen.

Technici mogen niks meer maar worden elke step-of-the-way bij het handje genomen door goedbedoelende kwakzalvers die hen eens zullen leren wat efficiënt werken is, met het boekje in de hand natuurlijk.

Security IS niet zo moeilijk op een operationeel niveau. Maar je rijdt al snel een of andere ambitieuze goedbedoelende kwakzalver in z'n zakkenvullerij ( of wat denk je dat de trend tot outsourcing is ? ) of de CSO of de CISO of de CTO of zelfs de teamlead of allemaal tezaam. Tenminste, zij zijn van mening dat je als niet-specialist per definitie incompetent bent dus MAG je het niet omdat het niet in een of ander hopeloos verouderd 'plan' of 'gids' van het staat neergeschreven.
20-10-2014, 19:26 door Anoniem
Ik durf te stellen dat Oracle zelf al jaren de grootste misbruiker is van hun backdoor gatenkaas software waardoor ze feitelijk met alle gehackte informatie m.n. de financiële wereld met voorkennis onder controle hebben.
21-10-2014, 19:12 door maboc
Door Anoniem: Ik durf te stellen dat Oracle zelf al jaren de grootste misbruiker is van hun backdoor gatenkaas software waardoor ze feitelijk met alle gehackte informatie m.n. de financiële wereld met voorkennis onder controle hebben.
Da's nogal een boute uitspraak.
Kun je die onderbouwen?
24-10-2014, 21:21 door Anoniem
Maboc, een voorbeeldje...Iedereen die op de stockmarked zijn slag kan slaan met voorkennis zal het niet laten.
http://www.sec.gov/news/press/2007/2007-94.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.