Apesar da Oracle negar qualquer brecha de segurança em seus servidores SSO federados do Oracle Cloud, relatos confirmam que os dados divulgados por um suposto invasor são válidos. Empresas afetadas verificaram a autenticidade das informações vazadas, reforçando a gravidade da situação.
Clientes da Oracle confirmam autenticidade de dados vazados em suposta invasão na nuvem
Na semana passada, um hacker identificado como ‘rose87168’ alegou ter invadido servidores do Oracle Cloud e iniciou a venda de credenciais e senhas criptografadas de 6 milhões de usuários. O invasor também afirmou que as senhas SSO e LDAP poderiam ser descriptografadas utilizando dados contidos nos arquivos roubados. Para provar sua reivindicação, o agente da ameaça disponibilizou amostras das informações vazadas para qualquer um que pudesse auxiliá-lo na recuperação dos dados.
Detalhes do vazamento
Os arquivos divulgados contêm um banco de dados, registros LDAP e uma lista de 140.621 domínios empresariais supostamente comprometidos. Embora alguns desses domínios pareçam ser de testes, os dados expostos incluem nomes de exibição LDAP, endereços de e-mail e outras informações de identificação.
Como parte da comprovação, ‘rose87168’ compartilhou uma URL do Archive.org contendo um arquivo de texto hospedado no servidor “login.us2.oraclecloud.com”, no qual constava seu endereço de e-mail. Isso sugere que o invasor teve acesso para criar arquivos dentro da infraestrutura da Oracle.
Oracle nega violação
Apesar das evidências, a Oracle refutou as alegações, afirmando que “não houve nenhuma violação do Oracle Cloud” e que as credenciais divulgadas não pertencem ao seu sistema. A empresa também declarou que nenhum cliente perdeu dados devido ao incidente.
Notícias Relacionadas
Ameaça digital
Golpistas usam falha no Google Sites e DKIM para driblar filtros e roubar dados
Cibercriminosos estão explorando uma técnica altamente engenhosa que combina o uso do Google Sites com um ataque conhecido como “repetição de DKIM” (DKIM Replay) para enviar e-mails falsos aparentemente legítimos — com assinaturas válidas — que visam enganar usuários e roubar credenciais de contas do Google. Golpistas usam falha no Google Sites e DKIM para […]
Segurança reforçada
Microsoft fortalece segurança da conta MSA com VMs confidenciais do Azure
A Microsoft deu mais um passo importante em sua estratégia de cibersegurança ao anunciar a migração do serviço de assinatura das Contas Microsoft (MSA) para máquinas virtuais confidenciais (Confidential VMs) do Azure. A mudança visa aumentar a proteção dos dados sensíveis e mitigar falhas exploradas no ciberataque Storm-0558, ocorrido em 2023. Além disso, a empresa […]
Contudo, apurações do BleepingComputer apontam contradições na posição da Oracle. Representantes de empresas afetadas, sob anonimato, confirmaram que os dados vazados pertencem a seus sistemas. Eles verificaram que nomes, e-mails e outras informações conferem com suas bases de dados reais.
Vulnerabilidade explorada
A CloudSek descobriu que o servidor “login.us2.oraclecloud.com” estava rodando o Oracle Fusion Middleware 11g em 17 de fevereiro de 2025. Essa versão contém uma falha crítica, catalogada como CVE-2021-35587, que permite a invasores comprometerem o Oracle Access Manager sem autenticação. O hacker alegou que explorou essa vulnerabilidade para obter acesso aos servidores da Oracle.
A Oracle desativou o servidor após as notícias sobre a suposta violação, mas não forneceu mais esclarecimentos sobre o caso. O BleepingComputer tentou contato com a empresa diversas vezes, mas não obteve resposta.
Impacto e preocupação do mercado
A situação gera preocupação entre clientes corporativos da Oracle, que dependem da segurança da plataforma em nuvem para proteger informações sensíveis. Se confirmada, a falha pode representar um dos maiores vazamentos de dados da história da empresa.
