Oracle confirma ATAQUE cibernético
10 de Abril de 2025

A Oracle finalmente confirmou, em notificações enviadas por e-mail aos seus clientes, que um hacker roubou e vazou credenciais que foram extraídas do que a empresa descreveu como "dois servidores obsoletos".

No entanto, a companhia adicionou que seus servidores Oracle Cloud não foram comprometidos, e este incidente não impactou os dados dos clientes nem os serviços na nuvem.

"A Oracle gostaria de declarar de forma inequívoca que o Oracle Cloud—também conhecido como Oracle Cloud Infrastructure ou OCI—NÃO sofreu uma violação de segurança", diz a Oracle.

"Nenhum ambiente de cliente OCI foi penetrado. Nenhum dado de cliente OCI foi visualizado ou roubado. Nenhum serviço OCI foi interrompido ou comprometido de forma alguma", ela adicionou em e-mails enviados de [email protected], instruindo os clientes a contatarem o suporte da Oracle ou o gerente de suas contas se tiverem perguntas adicionais.

"Um hacker teve acesso e publicou nomes de usuários de dois servidores obsoletos que nunca foram parte do OCI. O hacker não expôs senhas utilizáveis porque as senhas nesses dois servidores estavam criptografadas e/ou hasheadas. Portanto, o hacker não conseguiu acessar nenhum ambiente ou dado de cliente."

Desde que o incidente veio à tona em março, quando um ator de ameaças (rose87168) colocou à venda 6 milhões de registros de dados no BreachForums, a Oracle tem negado consistentemente relatos de uma violação do Oracle Cloud em declarações compartilhadas com a imprensa.

Embora isso seja verdade, pois corresponde ao que a Oracle está informando aos clientes—que a violação impactou uma plataforma mais antiga, o Oracle Cloud Classic—isto é apenas uma questão de semântica, como disse o especialista em cibersegurança Kevin Beaumont.

"A Oracle renomeou os antigos serviços do Oracle Cloud para serem o Oracle Classic. O Oracle Classic é que teve o incidente de segurança", disse Beaumont.

"A Oracle está negando isso no 'Oracle Cloud' usando esse escopo — mas ainda são serviços de nuvem da Oracle que a Oracle gerencia. Isso faz parte do jogo de palavras."

A Oracle também ainda precisa esclarecer se os servidores violados fazem parte do Oracle Cloud Classic ou de outra plataforma.

Isso vem após a empresa reconhecer privadamente em ligações com alguns de seus clientes, há uma semana, que atacantes roubaram credenciais antigas de clientes após violarem um "ambiente legado" usado pela última vez em 2017.

No entanto, enquanto a Oracle informava aos clientes que esses eram dados legados antigos não sensíveis, o ator de ameaças por trás do vazamento compartilhou dados do final de 2024 e, posteriormente, postou registros mais novos de 2025 no BreachForums.

O veículo de comunicação BleepingComputer também confirmou separadamente com vários clientes da Oracle que amostras dos dados vazados (incluindo nomes de exibição LDAP, endereços de email, nomes próprios e outras informações identificadoras) recebidos do ator de ameaças eram válidos, após a Oracle informar à BleepingComputer que "Não houve violação do Oracle Cloud. As credenciais publicadas não são para o Oracle Cloud. Nenhum cliente do Oracle Cloud experimentou uma violação ou perdeu dados."

A empresa de cibersegurança CybelAngel revelou pela primeira vez na semana passada que a Oracle informou aos clientes que um atacante implantou um web shell e malware adicional em alguns dos servidores Oracle Gen 1 (também conhecidos como Oracle Cloud Classic) já em janeiro de 2025.

Até que a violação fosse detectada no final de fevereiro, o ator de ameaças supostamente roubou dados do banco de dados Oracle Identity Manager (IDM), incluindo e-mails de usuários, senhas hasheadas e nomes de usuários.

Fontes disseram para a imprensa que um ator de ameaças chamado "Andrew"—que ainda não reivindicou afiliação com uma operação de extorsão ou ransomware—agora está extorquindo os hospitais violados, exigindo milhões de dólares em criptomoeda para não vender ou vazar os dados roubados.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...