A Oracle negou ao portal BleepingComputer a existência de uma invasão que resultou num vazamento de 6 milhões de registros associados a clientes. Os dados foram oferecidos para venda ontem à tarde por um ator de ameaças num fórum frequentado por cibercriminosos. O post anunciando a venda dos dados diz: “Olá, servidores tradicionais da Oracle foram hackeados (domínios: login.(region-name).oraclecloud.com). Cerca de 6 milhões de dados de clientes usuários de SSO e LDAP foram roubados. Arquivos JKS, senhas, arquivos de chave e chaves JPS do Enterprise Manager também foram roubados. As senhas SSO são criptografadas, elas podem ser descriptografadas com os arquivos disponíveis. também a senha com hash LDAP pode ser quebrada. (Eu não consegui fazer isso, mas se alguém puder me dizer como descriptografá-las, posso dar a eles alguns dos dados como um presente.) Vou listar os domínios de todas as empresas neste vazamento. As empresas podem pagar uma quantia específica para remover as informações de seus funcionários da lista antes que ela seja vendida. Eu também posso negociar por exploits de 0 day. Envie-me uma mensagem privada (MP). A Oracle pode me enviar uma mensagem através do e-mail oficial da empresa para My Email with 72H (nós conversamos antes)”
Leia também
Oracle corrige 318 falhas, sendo 10 críticas
Oracle expande integração multicloud Google/AWS
“Não houve nenhuma violação do Oracle Cloud. As credenciais publicadas não são para o Oracle Cloud. Nenhum cliente do Oracle Cloud sofreu uma violação ou perdeu dados”, disse a empresa ao BleepingComputer. O ator de ameaças publicou links para amostras de três categorias de dados: LDAP, banco de dados e lista de 141.620 supostos clientes. O ator de ameaças disse que cerca de 20 dias atrás conversou com representantes da Oracle e os ajudou a resolver a vulnerabilidade, mas que teria sido ignorado desde então.
Pesquisadores da Cloudsek analisaram o assunto e informaram que o ator de ameaças está ativo no fórum desde janeiro de 2025: “Nosso envolvimento com o agente da ameaça sugere uma possível vulnerabilidade não divulgada em login.(region-name).oraclecloud.com, levando a acesso não autorizado. Embora o agente da ameaça não tenha histórico anterior, seus métodos indicam alta sofisticação, a CloudSEK avalia essa ameaça com confiança média e a classifica como Alta em gravidade”.
O BleepingComputer informou que “como prova adicional de que tinha acesso aos servidores Oracle Cloud, o agente da ameaça compartilhou esta URL com o BleepingComputer, mostrando uma URL do Internet Archive que indica que eles carregaram um arquivo .txt contendo seu endereço de e-mail ProtonMail para o servidor login.us2.oraclecloud.com”. O BleepingComputer entrou em contato com a Oracle perguntando como o invasor enviou um arquivo de texto contendo seu endereço de e-mail sem acesso aos servidores do Oracle Cloud.
