关键词
数据泄露
德克萨斯州目前正处于法律风暴的中心,此前有人就大规模云数据泄露事件对甲骨文公司提起了集体诉讼。该诉讼于 2025 年 3 月 31 日在美国德克萨斯州西区地方法院提起,指控甲骨文未能保护敏感信息并拒绝及时通知受影响的个人。
该漏洞最早由 Hackread.com于 2025 年 3 月 22 日报道。一名使用别名“rose87168”的黑客在 Breach Forums 上声称早在 2025 年 1 月就获得了对 Oracle 云基础设施的访问权限。据黑客称,被盗数据包括加密的 SSO 密码、Java KeyStore (JKS) 文件、企业管理器 JPS 密钥以及与 Oracle Cloud 的 SSO 和 LDAP 系统相关的用户凭据。据称,被盗数据集包含与大约 600 万用户相关的信息。
Oracle 公开否认了此次入侵,拒绝进一步阐述。然而,网络安全公司 CloudSEK 进行了自己的调查,并声称找到了入侵的“确凿证据”。2025 年 3 月 31 日,黑客在 Breach Forums 上发布了更多证据,包括内部 LDAP 记录和来自 Oracle 云环境的部分凭据。
据报道,一名论坛管理员核实了这些数据的真实性,尽管 Hackread.com 表示,在 Oracle 公开透明之前,它无法独立确认此次泄露事件的完全性。不过,根据 TechMundo 的报道,它分析了这些数据并发现它是合法的
Oracle 诉讼
2025 年 3 月 31 日,佛罗里达州居民原告 Michael Toikach 提起集体诉讼, 他声称他的私人信息通过使用 Oracle 软件的医疗保健提供商存储在 Oracle 系统中。投诉称 Oracle 未能达到行业标准的安全实践,并指控该公司疏忽、违反受托责任、不当得利和违反第三方受益人合同。
托伊卡奇声称,自从新闻曝光以来,他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出,甲骨文未能遵守德克萨斯州法律,该法律要求组织在确认违规行为后 60 天内通知受影响的个人。截至提起诉讼之日,甲骨文尚未发出任何此类通知。
更令人担忧的是被盗数据的性质。投诉强调,此次泄露不仅涉及个人身份信息 (PII),还涉及敏感的健康数据。投诉引用了多个消息来源,包括彭博社和 HIPAA Journal,报道称 Oracle 已开始悄悄向一些医疗保健客户通报患者数据泄露事件。黑客的帖子威胁要公布受影响公司的完整名单,并表示如果这些公司付费删除员工记录,他们就会将特定组织排除在外。
起诉书列举了甲骨文的一系列失职行为,包括缺乏适当的加密、网络监控不力、未能及时发现或应对违规行为。起诉书还提到了甲骨文自己的公开隐私政策,该政策规定该公司将及时报告任何违规行为,但诉讼称甲骨文并未这样做。
END
原文始发于微信公众号(安全圈):【安全圈】Oracle 因涉嫌云泄露事件被起诉,影响数百万美元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论