写点什么

“付费删数据,否则全网叫卖!”十年未更新系统,Oracle 云曝出前所未有的重大生产事故,全球 14 万企业数据遭暗网“清仓大促”

  • 2025-04-03
    北京
  • 本文字数:2917 字

    阅读完需:约 10 分钟

“付费删数据,否则全网叫卖!”十年未更新系统,Oracle云曝出前所未有的重大生产事故,全球14万企业数据遭暗网“清仓大促”

近日,Oracle 在云安全方面遭遇了重大危机。


事件最早要回溯到 3 月 20 日,一位名为“rose87168”的黑客宣称,已成功入侵至少两个 Oracle 云客户的登录系统,并窃取了约六百万条记录,包括加密的单点登录(SSO)密码、加密的 LDAP 密码、安全证书等敏感信息。



对此,Oracle 迅速对媒体否认:“发布的凭证并不属于 Oracle 云,Oracle 云客户没有遭遇泄露或数据丢失。”


但在简单粗暴的否认背后,越来越多的证据正在打 Oracle 的脸。


从近两周的事态来看,这家数据库巨头不仅给不出合理的解释,而且还可能正清除网络上的证据,并试图通过“文字游戏”来回避责任。


据路透社报道,FBI 已介入调查此事件,正关注数据泄露的范围和影响。

黑客一边兜售数据一边勒索,第一起集体诉讼来了

目前,rose87168 一边在暗网兜售被窃数据,一边发起敲诈勒索行动,通过联系受影响企业,要求支付费用以从其数据库中删除被盗数据。


为加大对 Oracle 及受影响企业的施压,他还在 X 上建立账号,关注与 Oracle 相关的账户,并发文称:“受影响的企业可以联系我,验证这些数据是否来自 Oracle Cloud,我可以将其从待售数据集中删除。”



rose87168 在 X 给了一份所谓的受数据泄露影响的企业客户名单,上图中他关注的企业也在其中。


按照 rose87168 的说法,此次泄露涉及 14 万 Oracle Cloud 租户。通过对泄露的企业客户名单进行搜索,发现受影响的企业不仅限于美国,还包括超过 1000 个使用“.cn”域名的中国企业/个人。德国媒体报道称,这份名单中还包含超过 2100 个以“.de”结尾的德国公司域名,其中包括许多知名公司和 DAX 企业,另外还有银行、食品企业、教育机构、城市 IT 服务提供商以及许多中型公司也出现在其中,还有一些域名更可能是个人或测试访问。由此可见,这起泄露数据的影响范围或是全球性的。


这一事件也引发了首次集体诉讼。


3 月 31 日,佛罗里达州的 Shamis & Gentile 律师事务所代表原告 Michael Toikach 以及一百多名受害者,对甲骨文公司(Oracle)提起了诉讼。原告方指控甲骨文公司泄露了他们的个人身份信息和个人健康信息。这些信息,包括姓名、地址、社会安全号码和个人健康信息,是原告在使用甲骨文公司客户服务时被要求提供的。原告方认为,此次泄露将使他们在未来数年内持续面临身份盗窃和欺诈的风险。


诉状称,尽管 Oracle 在其隐私政策中承诺会“毫不拖延”地向客户报告所有数据泄露事件,但被告已超过两个月未向原告及集体成员通报此次泄露事件


被告在数据泄露事件中的多个方面存在问题,而未向受害者提供通知进一步加剧了问题的严重性:(1) Oracle 尚未向原告及集体成员通报此次数据泄露;(2) Oracle 未告知原告及集体成员其是否已遏制或终止此网络安全威胁,使得受害者担忧 Oracle 仍然存储的私人信息是否安全;(3) Oracle 未说明数据泄露的具体发生方式。这些信息对数据泄露的受害者至关重要,尤其是考虑到此次事件涉及的信息种类繁多且敏感程度较高。


诉状引用了许多媒体报道,其中包括 Oracle 已悄悄地开始通知一些医疗客户有关患者数据泄露的情况。因此,诉讼中要求赔偿损失、提供信用监控服务,并对 Oracle 的数据安全基础设施进行改革,这使得此次集体诉讼有可能成为 Oracle 多年来面临的最大法律挑战之一。

数据泄露铁证如山:十年未更新的软件成入侵跳板


除了扬言窃取数据,“rose87168”同时还将一份包含 1 万行数据的样本提交给了安全公司 Hudson Rock 的联合创始人兼 CTO Alon Gal。


这些证据包括一份包含客户员工个人信息的数据库提取样本、LDAP 记录样本以及一份声称受影响公司的名单。Gal 表示,他将这些信息展示给了一些 Oracle 客户,他们确认这些数据确实是他们私人的数据,原本托付给了 Oracle,现在却出现在了他人手中。


此外,rose87168 还提供了一段 1 个多小时的 Oracle 内部会议录音,声称该视频是从 Oracle 服务器下载的。录音主要涉及 Oracle 员工在讨论访问 Oracle 的内部密码库以及面向客户的系统等内容。



进一步地,还有 Oracle Web 服务器配置文件:




而这些所有受影响的系统均由 Oracle 直接管理。


信息安全公司 CloudSEK 也发布了对本次安全漏洞的分析,并得出结论:这些样本数据确实与真实客户的生产系统相符。CloudSEK 还表示,此次入侵涉及 Oracle SSO 服务的泄露,可能影响数千个租户。


目前仍不清楚入侵者是如何访问敏感数据的。根据 Orca Security 和 CloudSEK 的分析,这次入侵可能是通过利用 CVE-2021-35587 漏洞,“这个漏洞极易被利用,它允许未经认证的攻击者通过 HTTP 访问并入侵 Oracle Access Manager。”该漏洞的修复补丁已于 2022 年初发布。


数字取证证据表明,被攻击的服务器运行的是 Oracle Fusion Middleware 11G,其组件上一次更新是在 2014 年 9 月——距今已有十多年。这种严重的补丁滞后为漏洞利用创造了机会。


因此,有观点认为,Oracle 未能修复其公有中间件中的已知漏洞,这使得攻击者能够进入其生产 SSO 服务器,窃取客户的敏感数据。

云服务改个名字就不是“云服务”了?


尽管越来越多的证据表明发生了数据泄露,但 Oracle 除了否认的态度,仍未给出合理的解释。


更让人寒心的是,信息安全专家 Kevin Beaumont 和另一位安全研究员 Jake Williams 均指出,Oracle 似乎使用了“网站时光机”(Internet Wayback Machine)的归档排除功能来删除入侵证据。


rose87168 曾在 Oracle 的一台生产登录系统中留下文本文件作为入侵的证据,该文件包含了黑客的私人电子邮件地址,只有黑客或内部人士才可能将该文件上传到系统中。该文件曾对外公开并被网站时光机索引,但几天后,Oracle 要求 Archive.org 删除该证据:



不过,通过稍微修改 URL,依然可以在 3 月 1 日的 Oracle 登录页面上找到该文件的备份。


https://web.archive.org/web/20250301161225/https://login.us2.oraclecloud.com/oamfed/x.txt?mail


此外,Oracle 似乎正试图通过区分“Oracle Cloud”和“Oracle Classic”来回避责任。


换句话说,Oracle 声称 OCI(OCI——Oracle Cloud Infrastructure)没有被入侵,但这留下了“Oracle Classic”被入侵的话语空间。尽管这两者只是 Oracle 云服务的不同版本,Classic 是前代版本。


“Oracle 将旧的 Oracle Cloud 服务重新命名为 Oracle Classic,Oracle Classic 发生了安全事件。这是在‘Oracle Cloud’问题上玩文字游戏,”Beaumont 写道。“这种做法不可接受,Oracle 应该明确、公开、透明地向客户说明发生了什么、这对客户有何影响,以及他们正在采取什么应对措施。信任和责任至关重要,Oracle 必须站出来,否则客户将开始流失。”


Gal 在本周也发布帖子进一步质疑 Oracle 为何继续保持沉默。他表示,“Oracle 居然否认这一泄露事件,而这一泄露已经被许多独立的网络安全公司验证过,真是太疯狂了。”


目前,业界专家也正敦促 Oracle 云的客户尽快采取措施,确认是否受到了数据泄露的影响,并加强防范,避免数据滥用。


参考链接:

https://www.theregister.com/2025/03/31/oracle_reported_breaches/

https://doublepulsar.com/oracle-attempt-to-hide-serious-cybersecurity-incident-from-customers-in-oracle-saas-service-9231c8daff4a

https://www.darkreading.com/application-security/oracle-cloud-users-urged-take-action

https://www.heise.de/en/news/Data-leak-at-Oracle-Up-to-2000-German-victims-What-is-known-and-what-is-not-10336366.html

2025-04-03 10:3010

评论

发布
暂无评论

智能合约DAPP项目系统开发技术逻辑(dEOM)

I8O28578624

DAPP/去中心化系统开发流程解析方案(成熟理念)分析结果

I8O28578624

Mockito 助你实现真正的单元测试

lambochen

CleanMyMac4.12.4最新版本有哪些新功能?

茶色酒

CleanMyMac CleanMyMac X2023

C++缺省参数:学习成为一名优秀的舔狗

子夜的星

c++ 缺省参数 编程语言、 基础语法

【译】5 Different Ways to Create Objects in Java

lambochen

在可观测性的启蒙与初试探--快速实现根因分析/业务大盘

Yestodorrow

架构 监控 可观测性

NFT元宇宙链游游戏项目系统开发技术解析(Demo)

I8O28578624

什么是NFT链游项目游戏系统开发技术(Demo)采用Solidity 智能合约系统开发方案

I8O28578624

如何让Java编译器帮你写代码

京东科技开发者

后端 编译器 java; 编译器原理 企业号 1 月 PK 榜

Pipy 0.90.0 发布

Flomesh

多线程并发 Pipy 流量管理

浅谈区块链项目开发技术(Solidity成熟语言)

I8O28578624

深入理解跨域和最佳实践分享

Crazy Urus

面试 前端 HTTP 跨域

比Postman更懂中国程序员,Apipost真香!

不想敲代码

接口测试 API 研发管理工具

人人都在聊的云原生数据库Serverless到底是什么?

华为云开发者联盟

数据库 Serverless 云原生 华为云 GaussDB

栉风沐雨 韧性前行 | 2022年九科大事件

九科Ninetech

RPA 超自动化 流程挖掘

一个小故事带你了解 Spring IoC

lambochen

MySQL 主从备份实践

lambochen

Java踩坑之三目运算符类型转换

lambochen

编译期多态

SkyFire

c++ 多态

高效学 C++|继承与组合

TiAmo

c++ 编程语言 继承

浅谈 Java 多版本发布

lambochen

C++命名空间:别再因为命名冲突而烦恼了。

子夜的星

c++ 命名空间 C++基础

小令动态丨令牌云获中国金融科技·最佳新锐企业奖

令牌云数字身份

创新大赛 金融科技创新

流程的价值一,固化业务的最佳实践!

CTO技术共享

30+亮眼指标,看看2022年嘉为蓝鲸的逆势创新之路!

嘉为蓝鲸

自动化运维 嘉为蓝鲸 2022大事件

软件测试/测试开发 | 接口自动化测试中,文件上传该如何测试?

测试人

软件测试 自动化测试 接口测试 测试开发 文件上传

Redis缓存的主要异常及解决方案

京东科技开发者

数据库 缓存 缓存击穿 Redis 数据结构 企业号 1 月 PK 榜

佛萨奇2.0系统开发解析逻辑教程方案(成熟技术)

I8O28578624

流程的作用是服务于业务,所有不能被用来帮业务部门好好打粮食的流程,都不是好流程!

CTO技术共享

嘉为蓝鲸IT服务管理解决方案入选2022广东省政务服务创新解决方案

嘉为蓝鲸

自动化运维 嘉为蓝鲸 IT服务管理中心

“付费删数据,否则全网叫卖!”十年未更新系统,Oracle云曝出前所未有的重大生产事故,全球14万企业数据遭暗网“清仓大促”_云安全_罗燕珊_InfoQ精选文章