[Segurança] A sexta-feira da maldade da Oracle Cloud

Na sexta-feira passada, 21 de março, a comunidade de segurança ficou em estado de alerta por causa de um possível vazamento de dados de clientes do serviço de nuvem da Oracle.

Afinal de contas, quase todo mundo usa a Oracle!

Isso aconteceu porque nesse dia circulou a notícia de que um usuário chamado "rose87168" postou uma mensagem no BreachForums, um fórum underground super popular, anunciando que teria obtido um suposto acesso à informações privilegiadas sobre os clientes da Oracle Cloud. O post foi publicado no fórum no dia anterior, 20/03.

A empresa CloudSEK foi a primeira a reportar esse incidente, em seu blog, que chamou de "o maior ataque à cadeia de suprimentos de 2025". No período da tarde, aqui no Brasil, a notícia circulava em vários grupos de Whatsapp da galera de cibersegurança.

Segundo esse usuário, ele teria obtido informações dos servidores de login do serviço de nuvem da Oracle  (login.{nome_da_região}.oraclecloud.com) e obteve cerca de 6 milhões de dados confidenciais de clientes, incluindo credenciais de Single-Sign-On (SSO) e LDAP, além de outros tipos de senhas e chaves de clientes. No post ele compartilhou uma lista de vítimas ("company list"), um trecho de exemplo da base LDAP e da base de dados roubada.

Segundo a lista de domínios de vítimas do vazamento, compartilhada pelo criminoso, a quantidade de empresas afetadas beira os 140 mil.

A CloudSEK publicou uma ferramenta gratuita para verificar se sua organização está na lista de vítimas compartilhada pelo atacante: https://exposure.cloudsek.com/oracle.

Se a sua empresa está na lista de vítimas, ou não, vale revisar toda a segurança do seu ambiente na Oracle Cloud:

• troque credenciais e chaves de acesso;
• revise as permissões de acesso;
• instale os patches de segurança mais recentes;
• monitore o seu ambiente.

O criminoso está leiloando os dados roubados, oferecendo a base pelo melhor preço. Ele também convidou as empresas afetadas pelo suposto vazamento que o procurem, pois ele está cobrando um determinado valor para retirar os dados da empresa dessa base, antes de vazá-la.

Segundo a CloudSEK e a Orca Security, o criminoso explorou uma vulnerabilidade crítica no Oracle Access Manager, a CVE-2021-35587.

A Oracle negou categoricamente que o incidente tenha ocorrido.

Em resposta a negativa da Oracle, o ator rose87168 tem publicado novas evidências de seu ataque, incluindo um arquivo plantado dentro da Oracle Cloud. E vários portais de notícia declararam que empresas reconheceram a veracidade dos dados expostos no sample que o ator disponibilizou.

Segundo análise da empresa Zenox, o Brasil aparece como o segundo país mais impactado pelo vazamento, com 4.387 domínios listados no arquivo de vítimas (combinando .com.br e .br). O domínio .com, lidera essa lista de vítimas, com 79.227 domínios identificados.

Em 31 de março foi aberto um processo contra a Oracle Corporation por negligência e quebra de contrato por sua suposta falha em proteger adequadamente seus sistemas e notificar os clientes em tempo hábil.  O processo, de nível federal, foi aberto na corte do Distrito Oeste do Texas e busca status de ação coletiva. Ele tem como alvo as violações de segurança relatadas na Oracle Cloud e na Oracle Health e exige danos, custos e promessas da Oracle para proteger melhor seus clientes, dados e computadores.

Para saber mais:

• Relatórios da CloudSEK:
• The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants
• Part 2: Validating the Breach Oracle Cloud Denied – CloudSEK’s Follow-Up Analysis
• Ferramenta online: https://exposure.cloudsek.com/oracle
• Oracle Cloud Breach Exploiting CVE-2021-35587: How to Protect Your Organization
• Oracle denies breach after hacker claims theft of 6 million data records
• Oracle Cloud says it's not true someone broke into its login servers and stole data
• There are 10,000 reasons to doubt Oracle Cloud's security breach denial
• Resumo produzido pela Apura: Possível comprometimento da Oracle Cloud preocupa executivos de cibersegurança
• A Zenox produziu um relatório beeeeem detalhado sobre o caso:
• Análise técnica do suposto vazamento que teria comprometido 6 milhões de contas corporativas
• Novos dados do incidente Oracle
• Análise da SOC Radar: Everything You Need to Know About Oracle Cloud Security Incident by rose87168
• Análise da Clavis: Suposto ataque à infraestrutura da Oracle Cloud
• Oracle hack: Customers confirm stolen data is real
• Security Firms Say Evidence Seems to Confirm Oracle Cloud Hack
• Oracle customers confirm data stolen in alleged cloud breach is valid
• Suposto hack na Oracle gera polêmica
• Reportagem da Tecmundo, que entrevistou o ator Rose87168: ‘Se a Oracle me pagar, teremos um final feliz’, diz hacker que chantageia empresa
• Resumão do Caveiratech: Clientes da Oracle CONFIRMAM dados roubados
• Oracle Cloud security SNAFU latest: IT giant accused of pedantry as evidence scrubbed
• Processo aberto contra a Oracle (PDF): Case 1:25-cv-00477 Filed 03/31/25
• Vazamento da Oracle é real e expôs clientes, apontam novos indícios
• Sobre a vulnerabilidade que provavelmente foi explorada para invadir a Oracle (CVE 2021-35587):
• CVE 2021-35587 (NIST)
• CVE 2021-35587 (cve.org)
• Oracle Critical Patch Update Advisory - January 2022

PS: Post atualizado em 25, 26, 27 e 28/03, atualizado novamente em 01/04 (não foi piada!).

PS/2: A Oracle precisa se benzer: Oracle Health breach compromises patient data at US hospitals :(