黑客声称从 Oracle 云服务器窃取了 600 万条销售记录

一个名为“rose87168”的威胁行为者声称从 Oracle 云服务器窃取了 600 万条记录。

据报道，被盗数据包括 Java 密钥存储 (JKS) 文件、加密的单点登录 (SSO) 密码、散列轻量级目录访问协议 (LDAP) 密码、密钥文件和企业管理器 Java 平台安全 (JPS) 密钥。

据称，此次泄密事件影响了全球超过 140,000 名租户，并引发了人们对云安全的严重担忧。

黑客声称利用了 Oracle Cloud 登录基础设施中的漏洞，具体针对端点login.(region-name).oraclecloud.com。

据报道，该子域名托管了过时的 Oracle Fusion Middleware 软件，该软件可能容易通过 CVE-2021-35587 受到攻击，这是一个已知会影响 Oracle Access Manager 的漏洞。

暗网论坛上被盗数据

被盗数据在暗网论坛（包括 Breach Forums）上被张贴广告。“Rose87168”要求受影响组织支付赎金，以防止其数据被出售或泄露。

此外，威胁行为者还通过提供奖励来刺激其他人协助解密加密的 SSO 和 LDAP 密码。

Oracle 否认了其云基础设施遭到入侵的指控。在 2025 年 3 月 21 日发布的一份声明中，该公司声称没有客户数据遭到泄露，并且发布的凭证与其系统无关。

“rose87168” 自 2025 年 1 月起活跃，在策划这次攻击时展示了复杂的方法。黑客声称在网上发布被盗数据前约 40 天就获得了访问权限。

建议使用 Oracle Cloud 的组织立即采取行动：

1. 重置凭证：在实施强密码策略和多因素身份验证 (MFA) 的同时更改所有 SSO、LDAP 和相关密码。

2. 监控系统：部署安全监控工具来检测未经授权的访问或异常活动。

3. 调查违规行为：进行法医调查以识别漏洞并降低风险。

4. 与 Oracle 合作：向 Oracle 报告事件并寻求有关安全系统安全的指导。

5. 加强安全性：实施严格的访问控制和增强的日志机制。

此次泄密事件凸显了针对云环境的网络攻击日益复杂化。它凸显了定期软件更新、主动威胁监控和强大的安全措施对降低风险的重要性。