“付费删数据，否则全网叫卖！”十年未更新系统，Oracle 云曝出前所未有的重大生产事故，全球 14 万企业数据遭暗网“清仓大促”

近日，Oracle 在云安全方面遭遇了重大危机。

事件最早要回溯到 3 月 20 日，一位名为“rose87168”的黑客宣称，已成功入侵至少两个 Oracle 云客户的登录系统，并窃取了约六百万条记录，包括加密的单点登录（SSO）密码、加密的 LDAP 密码、安全证书等敏感信息。

对此，Oracle 迅速对媒体否认：“发布的凭证并不属于 Oracle 云，Oracle 云客户没有遭遇泄露或数据丢失。”

但在简单粗暴的否认背后，越来越多的证据正在打 Oracle 的脸。

从近两周的事态来看，这家数据库巨头不仅给不出合理的解释，而且还可能正清除网络上的证据，并试图通过“文字游戏”来回避责任。

据路透社报道，FBI 已介入调查此事件，正关注数据泄露的范围和影响。

黑客一边兜售数据一边勒索，第一起集体诉讼来了

目前，rose87168 一边在暗网兜售被窃数据，一边发起敲诈勒索行动，通过联系受影响企业，要求支付费用以从其数据库中删除被盗数据。

为加大对 Oracle 及受影响企业的施压，他还在 X 上建立账号，关注与 Oracle 相关的账户，并发文称：“受影响的企业可以联系我，验证这些数据是否来自 Oracle Cloud，我可以将其从待售数据集中删除。”

rose87168 在 X 给了一份所谓的受数据泄露影响的企业客户名单，上图中他关注的企业也在其中。

按照 rose87168 的说法，此次泄露涉及 14 万 Oracle Cloud 租户。通过对泄露的企业客户名单进行搜索，发现受影响的企业不仅限于美国，还包括超过 1000 个使用“.cn”域名的中国企业/个人。德国媒体报道称，这份名单中还包含超过 2100 个以“.de”结尾的德国公司域名，其中包括许多知名公司和 DAX 企业，另外还有银行、食品企业、教育机构、城市 IT 服务提供商以及许多中型公司也出现在其中，还有一些域名更可能是个人或测试访问。由此可见，这起泄露数据的影响范围或是全球性的。

这一事件也引发了首次集体诉讼。

3 月 31 日，佛罗里达州的 Shamis & Gentile 律师事务所代表原告 Michael Toikach 以及一百多名受害者，对甲骨文公司（Oracle）提起了诉讼。原告方指控甲骨文公司泄露了他们的个人身份信息和个人健康信息。这些信息，包括姓名、地址、社会安全号码和个人健康信息，是原告在使用甲骨文公司客户服务时被要求提供的。原告方认为，此次泄露将使他们在未来数年内持续面临身份盗窃和欺诈的风险。

诉状称，尽管 Oracle 在其隐私政策中承诺会“毫不拖延”地向客户报告所有数据泄露事件，但被告已超过两个月未向原告及集体成员通报此次泄露事件。

被告在数据泄露事件中的多个方面存在问题，而未向受害者提供通知进一步加剧了问题的严重性：(1) Oracle 尚未向原告及集体成员通报此次数据泄露；(2) Oracle 未告知原告及集体成员其是否已遏制或终止此网络安全威胁，使得受害者担忧 Oracle 仍然存储的私人信息是否安全；(3) Oracle 未说明数据泄露的具体发生方式。这些信息对数据泄露的受害者至关重要，尤其是考虑到此次事件涉及的信息种类繁多且敏感程度较高。

诉状引用了许多媒体报道，其中包括 Oracle 已悄悄地开始通知一些医疗客户有关患者数据泄露的情况。因此，诉讼中要求赔偿损失、提供信用监控服务，并对 Oracle 的数据安全基础设施进行改革，这使得此次集体诉讼有可能成为 Oracle 多年来面临的最大法律挑战之一。

数据泄露铁证如山：十年未更新的软件成入侵跳板

除了扬言窃取数据，“rose87168”同时还将一份包含 1 万行数据的样本提交给了安全公司 Hudson Rock 的联合创始人兼 CTO Alon Gal。

这些证据包括一份包含客户员工个人信息的数据库提取样本、LDAP 记录样本以及一份声称受影响公司的名单。Gal 表示，他将这些信息展示给了一些 Oracle 客户，他们确认这些数据确实是他们私人的数据，原本托付给了 Oracle，现在却出现在了他人手中。

此外，rose87168 还提供了一段 1 个多小时的 Oracle 内部会议录音，声称该视频是从 Oracle 服务器下载的。录音主要涉及 Oracle 员工在讨论访问 Oracle 的内部密码库以及面向客户的系统等内容。

进一步地，还有 Oracle Web 服务器配置文件：

而这些所有受影响的系统均由 Oracle 直接管理。

信息安全公司 CloudSEK 也发布了对本次安全漏洞的分析，并得出结论：这些样本数据确实与真实客户的生产系统相符。CloudSEK 还表示，此次入侵涉及 Oracle SSO 服务的泄露，可能影响数千个租户。

目前仍不清楚入侵者是如何访问敏感数据的。根据 Orca Security 和 CloudSEK 的分析，这次入侵可能是通过利用 CVE-2021-35587 漏洞，“这个漏洞极易被利用，它允许未经认证的攻击者通过 HTTP 访问并入侵 Oracle Access Manager。”该漏洞的修复补丁已于 2022 年初发布。

数字取证证据表明，被攻击的服务器运行的是 Oracle Fusion Middleware 11G，其组件上一次更新是在 2014 年 9 月——距今已有十多年。这种严重的补丁滞后为漏洞利用创造了机会。

因此，有观点认为，Oracle 未能修复其公有中间件中的已知漏洞，这使得攻击者能够进入其生产 SSO 服务器，窃取客户的敏感数据。

云服务改个名字就不是“云服务”了？

尽管越来越多的证据表明发生了数据泄露，但 Oracle 除了否认的态度，仍未给出合理的解释。

更让人寒心的是，信息安全专家 Kevin Beaumont 和另一位安全研究员 Jake Williams 均指出，Oracle 似乎使用了“网站时光机”（Internet Wayback Machine）的归档排除功能来删除入侵证据。

rose87168 曾在 Oracle 的一台生产登录系统中留下文本文件作为入侵的证据，该文件包含了黑客的私人电子邮件地址，只有黑客或内部人士才可能将该文件上传到系统中。该文件曾对外公开并被网站时光机索引，但几天后，Oracle 要求 Archive.org 删除该证据：

不过，通过稍微修改 URL，依然可以在 3 月 1 日的 Oracle 登录页面上找到该文件的备份。

https://web.archive.org/web/20250301161225/https://login.us2.oraclecloud.com/oamfed/x.txt?mail

此外，Oracle 似乎正试图通过区分“Oracle Cloud”和“Oracle Classic”来回避责任。

换句话说，Oracle 声称 OCI（OCI——Oracle Cloud Infrastructure）没有被入侵，但这留下了“Oracle Classic”被入侵的话语空间。尽管这两者只是 Oracle 云服务的不同版本，Classic 是前代版本。

“Oracle 将旧的 Oracle Cloud 服务重新命名为 Oracle Classic，Oracle Classic 发生了安全事件。这是在‘Oracle Cloud’问题上玩文字游戏，”Beaumont 写道。“这种做法不可接受，Oracle 应该明确、公开、透明地向客户说明发生了什么、这对客户有何影响，以及他们正在采取什么应对措施。信任和责任至关重要，Oracle 必须站出来，否则客户将开始流失。”

Gal 在本周也发布帖子进一步质疑 Oracle 为何继续保持沉默。他表示，“Oracle 居然否认这一泄露事件，而这一泄露已经被许多独立的网络安全公司验证过，真是太疯狂了。”

目前，业界专家也正敦促 Oracle 云的客户尽快采取措施，确认是否受到了数据泄露的影响，并加强防范，避免数据滥用。

参考链接：

https://www.theregister.com/2025/03/31/oracle_reported_breaches/

https://doublepulsar.com/oracle-attempt-to-hide-serious-cybersecurity-incident-from-customers-in-oracle-saas-service-9231c8daff4a

https://www.darkreading.com/application-security/oracle-cloud-users-urged-take-action

https://www.heise.de/en/news/Data-leak-at-Oracle-Up-to-2000-German-victims-What-is-known-and-what-is-not-10336366.html