Egy lengyel biztonsági cég kutatói a szakmában szokatlan lépésre szánták el magukat: olyan, az Oracle felhőszolgáltatásában (Java Cloud Service) található sebezhetőségeket, illetve ezek kihasználására alkalmas mintakódokat (proof of concept kódok) hoztak nyilvánosságra, melyeket a cég valószínűleg még nem javított.

A Security Explorations szakemberei azért döntöttek a 30 biztonsági rés leírásának (1. rész, 2. rész) közzététele mellett, mivel úgy ítélik meg, hogy az Oracle nem megfelelően reagált, amikor figyelmeztették őket a sebezhetőségekre. Adam Gowdiak, a cég alapítója és vezetője újságírói kérdésre közölte, hogy a hibákat két hónappal ezelőtt jelezték az Oracle-nek, ám a vállalat azóta sem jelezte, hogy kijavították volna őket (az első 28-at január 31-én, a maradék kettőt február 2-án küldték el). Sőt, írta Gowdiak, különösen felháborító módon azt közölték, hogy a szolgáltatás indulása után másfél évvel még mindig dolgoznak a felfedett sebezhetőségekre vonatkozó szabályzat kidolgozásán, ráadásul nem vállalnak kötelezettséget arra sem, hogy az ilyen bejelentések után elkészült javításokról tájékoztatják a szakembereket, illetve a nyilvánosságot.

A feltárt sebezhetőségek között vannak igen súlyosak is: pl. megkerülhető a Java biztonsági homokozója (sandbox), meg lehet kerülni az engedélyezési szabályokat (whitelisting rules) is, hozzá lehet férni adminisztrátori jelszavakhoz, találtak szövegesen tárolt felhasználói jelszavakat, felfedtek olyan szoftveres komponenseket, melyeket rég nem frissítettek, így onnan kb. 150 biztonsági javítás hiányzik stb. Összességében: a sebezhetőségek lehetővé teszik, hogy egy támadó egy adott regionális adatközpont felett teljesen átvegye az irányítást.