雲端解決方案供應商 Oracle 疑似發生大規模數據外洩事件,一名自稱「rose87168」的黑客在地下討論區 BreachForums 上聲稱成功入侵 Oracle Cloud 的 SSO(單一登入)及 LDAP 伺服器,並竊取多達 600 萬條數據,約涉及超過 14 萬用戶的敏感資訊,現正將這些資料出售。不過,Oracle 方面就迅速發表聲明,否認其雲端服務出現數據外洩。真相是?
出售數據包括零日漏洞
根據 rose87168 在討論區上的帖文可見,這次被出售的數據包括加密的 SSO 密碼、Java Keystore 文件、密鑰檔案及企業管理 JPS 密鑰等。對方更以出售數據或公開 Oracle 系統中的零日漏洞(Zero-Day Exploit)為條件,威脅對方支付贖金。對方還表示所竊取的 SSO 密碼及 LDAP 密碼仍在加密狀態,鼓勵其他黑客協助解密。
面對 rose87168 的「證據」,Oracle 第一時間否認其雲端服務存在數據外洩漏洞,又明確回應指 Oracle Cloud 並未遭到入侵,也沒有任何客戶的數據遭到洩露,而黑客所展示的憑證與 Oracle Cloud 無關,但就未作出具體解釋。
雖然 Oracle 否認了數據外洩,但業內人士估計,rose87168 可能利用了 Oracle Fusion Middleware 中的一個已知漏洞(CVE-2021-35587)發動攻擊,它曾於 2022 年被 CISA 列入已知漏洞清單,可允許未經身份驗證的人通過 HTTP 存取伺服器,繼而完全控制受影響的 Oracle Access Manager 系統。
外媒確認外洩資料屬實
事件曝光後,有外媒從黑客手中取得更多外洩資料的樣本,並聯繫了相關企業,確認外洩資料屬實;而在黑客聲稱與 Oracle 聯絡的電郵中,黑客指出是從 Oracle 的雲端 Dashborad 基礎設施發現漏洞,繼而取得 600 萬條數據。
此外, 網絡安全公司 CloudSEK 也發現了一個 Archive.org URL,顯示截至 2025 年 2 月 17 日,「login.us2.oraclecloud.com」伺服器正在執行 Oracle Fusion Middleware 11g。在懷疑入侵的消息曝光後,Oracle 已將該伺服器下架。
外媒揭發更多資訊後,曾再次聯絡 Oracle,惟對方未有任何回應。