Oracle 因涉嫌云泄露事件被起诉，影响数百万美元

德克萨斯州目前正处于法律风暴的中心，此前有人就大规模云数据泄露事件对甲骨文公司提起了集体诉讼。该诉讼于 2025 年 3 月 31 日在美国德克萨斯州西区地方法院提起，指控甲骨文未能保护敏感信息并拒绝及时通知受影响的个人。

该漏洞最早由 Hackread.com于 2025 年 3 月 22 日报道。一名使用别名“rose87168”的黑客在 Breach Forums 上声称早在 2025 年 1 月就获得了对 Oracle 云基础设施的访问权限。据黑客称，被盗数据包括加密的 SSO 密码、Java KeyStore (JKS) 文件、企业管理器 JPS 密钥以及与 Oracle Cloud 的 SSO 和 LDAP 系统相关的用户凭据。据称，被盗数据集包含与大约 600 万用户相关的信息。

Oracle 公开否认了此次入侵，拒绝进一步阐述。然而，网络安全公司 CloudSEK 进行了自己的调查，并声称找到了入侵的“确凿证据”。2025 年 3 月 31 日，黑客在 Breach Forums 上发布了更多证据，包括内部 LDAP 记录和来自 Oracle 云环境的部分凭据。

据报道，一名论坛管理员核实了这些数据的真实性，尽管 Hackread.com 表示，在 Oracle 公开透明之前，它无法独立确认此次泄露事件的完全性。不过，根据 TechMundo 的报道，它分析了这些数据并发现它是合法的

Oracle 诉讼

2025 年 3 月 31 日，佛罗里达州居民原告 Michael Toikach 提起集体诉讼， 他声称他的私人信息通过使用 Oracle 软件的医疗保健提供商存储在 Oracle 系统中。投诉称 Oracle 未能达到行业标准的安全实践，并指控该公司疏忽、违反受托责任、不当得利和违反第三方受益人合同。

托伊卡奇声称，自从新闻曝光以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认违规行为后 60 天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。

更令人担忧的是被盗数据的性质。投诉强调，此次泄露不仅涉及个人身份信息 (PII)，还涉及敏感的健康数据。投诉引用了多个消息来源，包括彭博社和 HIPAA Journal，报道称 Oracle 已开始悄悄向一些医疗保健客户通报患者数据泄露事件。黑客的帖子威胁要公布受影响公司的完整名单，并表示如果这些公司付费删除员工记录，他们就会将特定组织排除在外。

起诉书列举了甲骨文的一系列失职行为，包括缺乏适当的加密、网络监控不力、未能及时发现或应对违规行为。起诉书还提到了甲骨文自己的公开隐私政策，该政策规定该公司将及时报告任何违规行为，但诉讼称甲骨文并未这样做。