600萬Oracle云用戶數(shù)據(jù)疑泄露
一場圍繞Oracle云服務的安全風波正在發(fā)酵。近日,一位自稱“rose87168”的黑客宣稱成功入侵了Oracle Cloud的聯(lián)邦單點登錄(SSO)服務器,竊取了600萬用戶的認證數(shù)據(jù)和加密密碼,并開始在暗網(wǎng)兜售這些信息。
盡管Oracle官方矢口否認遭遇任何入侵,但安全媒體BleepingComputer通過多方驗證,確認黑客提供的數(shù)據(jù)樣本真實性不容置疑。
Oracle云用戶數(shù)據(jù)被“開盒”
黑客在暗網(wǎng)兜售600萬Oracle云用戶數(shù)據(jù)
上周,“rose87168”在網(wǎng)絡上高調宣布,他們攻破了Oracle Cloud的服務器,拿到了600萬用戶的SSO和LDAP認證數(shù)據(jù)。這位黑客不僅放出豪言,稱這些加密密碼可以利用竊取文件中的信息解密,還貼心地表示愿意與“有能力恢復數(shù)據(jù)的人”分享部分樣本。
為了證明自己的說法,黑客甩出了多個文本文件,包括數(shù)據(jù)庫內容、LDAP數(shù)據(jù),以及一份據(jù)稱涉及14萬余個公司域名的清單。值得一提的是,這份清單中部分域名看似是測試用例,且不少公司擁有多個域名,數(shù)據(jù)真實性因此蒙上一層迷霧。
更令人震驚的是,黑客還向BleepingComputer提供了一個Archive.org的鏈接,指向托管在“l(fā)ogin.us2.oraclecloud.com”服務器上的文本文件,里面赫然寫著他們的郵箱地址。這意味著,黑客不僅可能竊取了數(shù)據(jù),甚至還能在Oracle的服務器上創(chuàng)建文件——這無疑是入侵的有力證據(jù)。
Oracle矢口否認,但數(shù)據(jù)驗證實錘
面對黑客的挑釁,Oracle迅速做出回應。上周五,該公司對BleepingComputer表示:“Oracle Cloud未發(fā)生任何入侵。公開的憑證并非來自Oracle Cloud,沒有任何客戶遭遇數(shù)據(jù)泄露或損失。”言辭斬釘截鐵,甚至拒絕就此事進一步置評。
然而,BleepingComputer并未止步于此。他們從黑客手中拿到更多數(shù)據(jù)樣本,并聯(lián)系了相關公司進行核實。結果令人意外:多家公司在匿名承諾下確認,這些數(shù)據(jù)——包括LDAP顯示名稱、郵箱地址、姓名等身份信息——完全屬實,與其內部記錄一致。Oracle的“零泄露”聲明,與這些企業(yè)的反饋形成了鮮明對比。
郵件曝光:黑客與Oracle的“暗中交鋒”
黑客還向BleepingComputer展示了他們與Oracle之間的郵件往來。其中一封郵件顯示,“rose87168”曾主動聯(lián)系Oracle的安全郵箱(secalert_us@oracle.com (mailto:_us@oracle.com)),直言不諱地報告入侵:“我深入研究了你們的云儀表盤基礎設施,發(fā)現(xiàn)了一個巨大漏洞,讓我完全掌控了600萬用戶的信息。”
另一封郵件則更有戲劇性。黑客聲稱收到了一位使用ProtonMail(@proton.me)郵箱、自稱Oracle員工的回復:“我們收到了你的郵件,今后請用這個郵箱溝通,收到后請告知。”不過,由于無法核實對方身份及郵件真實性,BleepingComputer對這部分內容進行了模糊處理。這場“郵件對話”究竟是黑客的單方面表演,還是雙方確有接觸,仍是未解之謎。
漏洞根源:過時軟件惹的禍?
網(wǎng)絡安全公司Cloudsek的調查為事件提供了更多線索。他們發(fā)現(xiàn),截至2025年2月17日,“l(fā)ogin.us2.oraclecloud.com”服務器運行的是Oracle Fusion Middleware 11g版本。這一版本曾受漏洞CVE-2021-35587影響,該漏洞允許未經(jīng)身份驗證的攻擊者直接攻破Oracle Access Manager。黑客聲稱,正是利用這一漏洞,他們得以入侵服務器。
諷刺的是,在事件曝光后,Oracle迅速將這臺服務器下線,似乎在無聲中承認了問題的存在。
云安全的一次重大危機
這場風波的核心問題在于:Oracle是否真的被攻破?如果黑客所言屬實,600萬用戶的認證數(shù)據(jù)外泄將是一場災難,涉及的企業(yè)數(shù)量和影響范圍令人咋舌。而Oracle的強硬否認,又讓人懷疑其是否在試圖掩蓋真相以維護聲譽。
對于普通用戶和企業(yè)來說,這不僅是一次技術層面的較量,更是對云服務安全的信任考驗。在云計算日益普及的今天,科技巨頭的安全防線一旦失守,后果不堪設想。Oracle需要給出一個更令人信服的解釋,而不僅僅是“沒有泄露”的一句空話。
