“付費刪資料，否則全網叫賣！”Oracle雲曝出前所未有的重大生產事故

轉自：InfoQ

近日，Oracle 在雲安全方面遭遇了重大危機。

事件最早要回溯到 3 月 20 日，一位名為“rose87168”的駭客宣稱，已成功入侵至少兩個 Oracle 雲客戶的登入系統，並竊取了約六百萬條記錄，包括加密的單點登入（SSO）密碼、加密的 LDAP 密碼、安全證書等敏感資訊。

對此，Oracle 迅速對媒體否認：“釋出的憑證並不屬於 Oracle 雲，Oracle 雲客戶沒有遭遇洩露或資料丟失。”

但在簡單粗暴的否認背後，越來越多的證據正在打 Oracle 的臉。

從近兩週的事態來看，這家資料庫巨頭不僅給不出合理的解釋，而且還可能正清除網路上的證據，並試圖透過“文字遊戲”來回避責任。

據路透社報道，FBI 已介入調查此事件，正關注資料洩露的範圍和影響。

1駭客一邊兜售資料一邊勒索，第一起集體訴訟來了

目前，rose87168 一邊在暗網兜售被竊資料，一邊發起敲詐勒索行動，透過聯絡受影響企業，要求支付費用以從其資料庫中刪除被盜資料。

為加大對 Oracle 及受影響企業的施壓，他還在 X 上建立賬號，關注與 Oracle 相關的賬戶，併發文稱：“受影響的企業可以聯絡我，驗證這些資料是否來自 Oracle Cloud，我可以將其從待售資料集中刪除。”

rose87168 在 X 給了一份所謂的受資料洩露影響的企業客戶名單，上圖中他關注的企業也在其中。

按照 rose87168 的說法，此次洩露涉及 14 萬 Oracle Cloud 租戶。透過對洩露的企業客戶名單進行搜尋，發現受影響的企業不僅限於美國，還包括超過 1000 個使用“.cn”域名的中國企業 / 個人。德國媒體報道稱，這份名單中還包含超過 2100 個以“.de”結尾的德國公司域名，其中包括許多知名公司和 DAX 企業，另外還有銀行、食品企業、教育機構、城市 IT 服務提供商以及許多中型公司也出現在其中，還有一些域名更可能是個人或測試訪問。由此可見，這起洩露資料的影響範圍或是全球性的。

這一事件也引發了首次集體訴訟。

3 月 31 日，佛羅里達州的 Shamis & Gentile 律師事務所代表原告 Michael Toikach 以及一百多名受害者，對甲骨文公司（Oracle）提起了訴訟。原告方指控甲骨文公司洩露了他們的個人身份資訊和個人健康資訊。這些資訊，包括姓名、地址、社會安全號碼和個人健康資訊，是原告在使用甲骨文公司客戶服務時被要求提供的。原告方認為，此次洩露將使他們在未來數年內持續面臨身份盜竊和欺詐的風險。

訴狀稱，儘管 Oracle 在其隱私政策中承諾會“毫不拖延”地向客戶報告所有資料洩露事件，但被告已超過兩個月未向原告及集體成員通報此次洩露事件。

被告在資料洩露事件中的多個方面存在問題，而未向受害者提供通知進一步加劇了問題的嚴重性：(1) Oracle 尚未向原告及集體成員通報此次資料洩露；(2) Oracle 未告知原告及集體成員其是否已遏制或終止此網路安全威脅，使得受害者擔憂 Oracle 仍然儲存的私人資訊是否安全；(3) Oracle 未說明資料洩露的具體發生方式。這些資訊對資料洩露的受害者至關重要，尤其是考慮到此次事件涉及的資訊種類繁多且敏感程度較高。

訴狀引用了許多媒體報道，其中包括 Oracle 已悄悄地開始通知一些醫療客戶有關患者資料洩露的情況。因此，訴訟中要求賠償損失、提供信用監控服務，並對 Oracle 的資料安全基礎設施進行改革，這使得此次集體訴訟有可能成為 Oracle 多年來面臨的最大法律挑戰之一。

2資料洩露鐵證如山：十年未更新的軟體成入侵跳板

除了揚言竊取資料，“rose87168”同時還將一份包含 1 萬行資料的樣本提交給了安全公司 Hudson Rock 的聯合創始人兼 CTO Alon Gal。

這些證據包括一份包含客戶員工個人資訊的資料庫提取樣本、LDAP 記錄樣本以及一份聲稱受影響公司的名單。Gal 表示，他將這些資訊展示給了一些 Oracle 客戶，他們確認這些資料確實是他們私人的資料，原本託付給了 Oracle，現在卻出現在了他人手中。

此外，rose87168 還提供了一段 1 個多小時的 Oracle 內部會議錄音，聲稱該影片是從 Oracle 伺服器下載的。錄音主要涉及 Oracle 員工在討論訪問 Oracle 的內部密碼庫以及面向客戶的系統等內容。

進一步地，還有 Oracle Web 伺服器配置檔案：

而這些所有受影響的系統均由 Oracle 直接管理。

資訊安全公司 CloudSEK 也釋出了對本次安全漏洞的分析，並得出結論：這些樣本資料確實與真實客戶的生產系統相符。CloudSEK 還表示，此次入侵涉及 Oracle SSO 服務的洩露，可能影響數千個租戶。

目前仍不清楚入侵者是如何訪問敏感資料的。根據 Orca Security 和 CloudSEK 的分析，這次入侵可能是透過利用 CVE-2021-35587 漏洞，“這個漏洞極易被利用，它允許未經認證的攻擊者透過 HTTP 訪問併入侵 Oracle Access Manager。”該漏洞的修復補丁已於 2022 年初發布。

數字取證證據表明，被攻擊的伺服器執行的是 Oracle Fusion Middleware 11G，其元件上一次更新是在 2014 年 9 月——距今已有十多年。這種嚴重的補丁滯後為漏洞利用創造了機會。據網友反饋，Oracle Fusion Middleware 11G已停產。

因此，有觀點認為，Oracle 未能修復其公有中介軟體中的已知漏洞，這使得攻擊者能夠進入其生產 SSO 伺服器，竊取客戶的敏感資料。

3雲服務改個名字就不是“雲服務”了？

儘管越來越多的證據表明發生了資料洩露，但 Oracle 除了否認的態度，仍未給出合理的解釋。

更讓人寒心的是，資訊安全專家 Kevin Beaumont 和另一位安全研究員 Jake Williams 均指出，Oracle 似乎使用了“網站時光機”（Internet Wayback Machine）的歸檔排除功能來刪除入侵證據。

rose87168 曾在 Oracle 的一臺生產登入系統中留下文字檔案作為入侵的證據，該檔案包含了駭客的私人電子郵件地址，只有駭客或內部人士才可能將該檔案上傳到系統中。該檔案曾對外公開並被網站時光機索引，但幾天後，Oracle 要求 Archive.org 刪除該證據：

不過，透過稍微修改 URL，依然可以在 3 月 1 日的 Oracle 登入頁面上找到該檔案的備份。https://web.archive.org/web/20250301161225/https://login.us2.oraclecloud.com/oamfed/x.txt?mail

此外，Oracle 似乎正試圖透過區分“Oracle Cloud”和“Oracle Classic”來回避責任。

換句話說，Oracle 聲稱 OCI（OCI——Oracle Cloud Infrastructure）沒有被入侵，但這留下了“Oracle Classic”被入侵的話語空間。儘管這兩者只是 Oracle 雲服務的不同版本，Classic 是前代版本。

“Oracle 將舊的 Oracle Cloud 服務重新命名為 Oracle Classic，Oracle Classic 發生了安全事件。這是在‘Oracle Cloud’問題上玩文字遊戲，”Beaumont 寫道。“這種做法不可接受，Oracle 應該明確、公開、透明地向客戶說明發生了什麼、這對客戶有何影響，以及他們正在採取什麼應對措施。信任和責任至關重要，Oracle 必須站出來，否則客戶將開始流失。”

Gal 在本週也釋出帖子進一步質疑 Oracle 為何繼續保持沉默。他表示，“Oracle 居然否認這一洩露事件，而這一洩露已經被許多獨立的網路安全公司驗證過，真是太瘋狂了。”

目前，業界專家也正敦促 Oracle 雲的客戶儘快採取措施，確認是否受到了資料洩露的影響，並加強防範，避免資料濫用。

END

官方站點：www.linuxprobe.com

Linux命令大全：www.linuxcool.com