Verkeerd geconfigureerde Oracle-servers zijn de oorzaak dat de gevoelige gegevens van meer dan 100.000 mensen, alsmede vertrouwelijke gegevens van havens, verzekeringsbedrijven, overheidsinstanties en gezondheidsorganisaties, eenvoudig via het internet toegankelijk waren of nog steeds zijn. Het probleem speelt bij installaties van de Oracle Reports databaseserver waar beheerders de beveiligingscontrole niet hebben ingeschakeld. Een probleem dat al sinds 2012 bekend is.

Normaliter hoort de databaseserver alleen toegankelijk te zijn voor geautoriseerde gebruikers die de informatie binnen een vertrouwd, privénetwerk benaderen. Sommige databasebeheerders zouden de installaties niet goed hebben geconfigureerd, waardoor vertrouwelijke informatie via een Google-zoekopdracht te vinden is. De misconfiguratie zorgt er ook voor dat de diagnostische pagina openstaat, waar wachtwoord en gebruikersnaam zijn te vinden om databasegegevens te benaderen.

Toen Oracle ontdekte dat klanten de beveiligingscontrole niet inschakelden, verscheen er in 2012 een patch die de optie standaard inschakelde. Er zijn echter nog tal van installaties waar de update niet is uitgerold. Sommige experts laten tegenover de Washington Post weten dat ook Oracle een deel van de blaam treft. Het bedrijf zou software hebben uitgegeven die te lastig was om goed te gebruiken en standaardinstellingen had die de beveiliging verzwakten.

Bron: security.nl