Oracle: empresa confirma hacking no Oracle Cloud
Empresa está informando de forma privada os clientes que alguns de seus sistemas de nuvem foram hackeados e aparentemente está tentando minimizar o impacto do incidente.
Recentemente, um hacker sob o codinome “rose87168” esteve vendendo informações possivelmente associadas a mais de 140 mil clientes do Oracle Cloud, incluindo credenciais criptografadas. O hacker inicialmente esperava extorquir cerca de 20 milhões de dólares da Oracle, mas começou a oferecer os dados para qualquer um ou trocá-los por exploits zero-day.
Após as alegações do hacker virem à tona, de que ele estaria de posse de dados da Oracle, a empresa negou categoricamente a invasão no Oracle Cloud, dizendo que “não houve nenhuma violação de dados. As credenciais publicadas não estão relacionadas ao Oracle Cloud. Nenhum cliente da solução sofreu uma violação ou perdeu dados”.
No entanto, o hacker tem compartilhado vários tipos de informações para provar suas alegações, incluindo uma amostra de 10 mil registros de dados de clientes, um link para um arquivo demonstrando acesso aos sistemas de nuvem da Oracle, credenciais de usuário e um longo vídeo que parece ter sido gravado em uma reunião interna da Oracle.
Várias empresas de segurança e sites de notícias especializados têm apontado que as informações vazadas pareciam genuínas e associadas a um ambiente de produção. O site SecurityWeek e outras receberam a confirmação de que alguns clientes do Oracle Cloud tiveram seus dados incluídos no vazamento.
A Oracle notifica alguns clientes sobre a violação de dados
Existem vários relatórios independentes da Oracle notificando privadamente os clientes afetados e confirmando que ocorreu uma violação de dados. Por outro lado, os detalhes permanecem obscuros e parecem haver algumas informações conflitantes.
A Bloomberg soube por pessoas familiarizadas com o assunto de que a Oracle começou a informar privadamente os clientes sobre uma violação de dados que impactou nomes de usuários, chaves de acesso e senhas criptografadas. O FBI e a CrowdStrike estão investigando o suposto crime.
De acordo com algumas fontes, a Oracle está informando aos clientes que o incidente envolveu um ambiente legado que não está em uso há 8 anos e que as credenciais comprometidas representam pouco risco. Uma fonte diferente disse à publicação que algumas das credenciais comprometidas são de 2024.
Como o ataque ocorreu?
A empresa de segurança CybelAngel soube de uma fonte não identificada que os servidores em nuvem ‘Gen 1’ foram afetados (os servidores mais novos, os ‘Gen 2’, não foram afetados) e que as informações comprometidas têm pelo menos 16 meses e não incluem detalhes pessoais completos.
“Nossa fonte, que não estamos nomeando conforme solicitado, está relatando que a Oracle supostamente identificou um invasor que estava no serviço de identidade compartilhada já em janeiro de 2025”, disse a CybelAngel.
“Essa exposição foi facilitada por meio de um exploit Java de 2020 e o hacker conseguiu instalar um webshell junto com um malware, que tinha como alvo específico o banco de dados Oracle IDM, conseguindo exfiltrar dados. A Oracle supostamente tomou conhecimento de uma potencial violação de dados no final de fevereiro e investigou esse problema internamente”, acrescentou. “Em poucos dias, a Oracle aparentemente conseguiu remover a ameaça quando a primeira demanda por resgate foi feita no início de março”.
O hacker afirma que informações de 2025 também foram comprometidas.
O ataque realmente ocorreu?
O pesquisador de segurança cibernética Kevin Beaumont, que acompanha a história, soube de clientes da nuvem da Oracle que as notificações da empresa foram apenas verbais, que não há notificações por escrito.
“A Oracle esta tentando fazer declarações sobre o Oracle Cloud e usar palavras muito específicas para evitar responsabilidade. Isso não está certo. A Oracle precisa falar clara, aberta e publicamente o que ocorreu, como isso impacta os clientes e o que eles estão fazendo sobre isso”, disse o pesquisador.
A vida da Oracle não está fácil
Relatos de um hacking aparentemente não relacionado com o Oracle Health também têm circulados nos últimos dias. De acordo com o site Bleeping Computer, as informações de pacientes de várias organizações de saúde dos EUA foram comprometidas naquele incidente.
Conclusão?
Realmente a Oracle confirmou que houve um hacking em seus sistemas de nuvem, mas não ficou claro 100% se ele ocorreu em tempos atuais, por mais que possam existir alguns relatos do hacking ser de 2025.
O que achou do post?
Créditos: