甲骨文试图隐瞒SaaS服务重大网络安全事件
作为云SaaS(软件即服务)解决方案提供商,承担网络安全责任是基本要求——包括保持透明和开放。甲骨文正面临这一考验,他们在为客户管理的服务中发生了一起严重的网络安全事件。
3月21日,Bleeping Computer报道了一名名为rose87168的威胁攻击者声称入侵了*.oraclecloud.com内的一些甲骨文服务。甲骨文向Bleeping Computer和客户表示:“Oracle Cloud未被入侵。公布的凭证不属于Oracle Cloud。没有Oracle Cloud客户遭遇入侵或数据丢失。”
随后,威胁攻击者发布了一个archive.org URL并提供给Bleeping Computer,强烈暗示他们具有对login.us2.oraclecloud.com的写入权限,该服务使用Oracle Access Manager。此服务器完全由甲骨文管理:
https://cyberplace.social/@GossiTheDog/114202395143978043
甲骨文随后要求Archive.org删除证据。
威胁攻击者接着提供了一段数小时长的甲骨文内部会议录音,包含甲骨文员工长达两小时的谈话:
会议可在此处观看,文字记录在此处: https://github.com/j-klawson/oracle_breach_2025/blob/main/youtube_video_transcript.txt
两小时的视频内容包括访问甲骨文内部密码库和面向客户的系统:
我已屏蔽甲骨文系统的根密码。
随后,Hudson Rock和Bleeping Computer均能向甲骨文客户确认,他们的数据——包括员工电子邮件地址——已出现在威胁攻击者发布的数据中:
尽管甲骨文否认其Oracle Cloud联合SSO登录服务器遭入侵以及账户数据被盗,但客户确认失窃数据有效。
威胁攻击者rose87168仍在线上活跃并持续发布数据——威胁发布更多数据:
他们还向网络安全威胁情报提供商发布了数据。
在向记者验证的数据中,现已100%明确甲骨文发生了网络安全事件,涉及处理客户数据的系统。
例如,威胁攻击者公开提供了完整的甲骨文配置文件——且为当前版本。作为一个例子,他们提供了甲骨文Web服务器配置文件:
所有受影响的系统均由甲骨文直接管理。提供给记者的部分数据也是当前版本。这是一起严重的网络安全事件,影响甲骨文管理平台中的客户。
甲骨文试图围绕Oracle Cloud玩弄文字游戏,使用非常具体的措辞规避责任。这是不可接受的。甲骨文需要清晰、公开、透明地沟通事件经过、对客户的影响以及应对措施。这是信任和责任的问题。站出来,甲骨文——否则客户应开始退出。
更新1——甲骨文将旧的Oracle Cloud服务重新命名为Oracle Classic。Oracle Classic存在安全事件。
甲骨文通过此范围否认“Oracle Cloud”受影响——但这仍是甲骨文管理的云服务。这是文字游戏的一部分。
更新2——尽管甲骨文使用archive.org排除流程删除了写入某个oraclecloud.com Web服务器的证据,但他们忘了删除第二个URL(点击图片查看超链接)。
威胁攻击者的电子邮件地址
更新3——多名甲骨文云客户联系我,表示甲骨文现已确认其服务遭入侵。
他们仅口头确认,拒绝书面记录,因此正在与查询的大客户安排会议。
这与甲骨文Health持续泄露医疗PII的行为类似,他们仅口头提供细节,拒绝书面形式:
甲骨文Health泄露事件影响美国多家医疗机构和医院,威胁攻击者窃取了患者数据。
关于Oracle Classic(即OCI Gen1)安全问题的更多信息已浮出水面——我正在调查。
如需最新更新,可在Mastodon关注我:https://cyberplace.social/invite/hHiX8ntL 或 @gossithedog@cyberplace.social
网络安全新闻 甲骨文