曝 600 万条数据被盗，Oracle 立即否认，却遭黑客火速“打脸”？

摘要：3 月 20 日，一个 ID 为"rose87168"的黑客在 BreachForums 论坛上发帖，声称已成功入侵 Oracle Cloud 的联邦 SSO（单点登录）服务器，并窃取了大约 600 万条用户记录，影响超过 144,000 家 Oracle 客

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

我们没有被黑客攻击。”——Oracle

“不，你们的数据正在被出售。”——黑客 rose87168

3 月 20 日，一个 ID 为"rose87168"的黑客在 BreachForums 论坛上发帖，声称已成功入侵 Oracle Cloud 的联邦 SSO（单点登录）服务器，并窃取了大约 600 万条用户记录，影响超过 144,000 家 Oracle 客户。

一般而言，当企业遭遇数据泄露，通常会在第一时间向用户发出安全警告，并采取应急响应措施。但在 Oracle 这里，情况却有些特殊——确实迅速作出回应了，却只是坚决否认发生了数据泄露。

然而，打脸来得很快：这不到半个月的时间里，已有多家安全研究机构证实了 Oracle 的数据泄露事件属实：被盗数据是真的！黑客所说的漏洞也是真的！

黑客：我们入侵了 Oracle Cloud，并窃取了 600 万条记录

据黑客 rose87168 描述，其窃取的数据包括：加密的 SSO 密码、LDAP（轻量级目录访问协议）信息、OAut

h2 密钥、Java Keystore（JKS）文件、Oracle 企业管理工具的 JPS 密钥等等。

rose87168 声称，这些数据是通过入侵 login.(region-name).oraclecloud.com 服务器

后获取的：“SSO 密码是加密的，但可以使用现有文件解密，LDAP 哈希密码也可以被破解。

除此之外，rose87168 还提供了一份 Oracle 内部客户名单，并威胁称：

（1）企业可支付“赎金”来删除自己员工的泄露信息，否则这些数据将被售卖。

（2）任何人只要能帮助他们破解 SSO 密码或 LDAP 哈希密码，都可以获得部分数据作为交换。

根据 rose87168 的说法，其团队早在 40 天前就已经成功入侵 Oracle Cloud 服务器，并从 US2 和 EM2 云区域窃取数据。在邮件交流中，rose87168 表示，他们要求 Oracle 支付 10 万枚门罗币（XMR），以换取完整的入侵细节，但 Oracle 拒绝支付，仅要求提供修复漏洞所需的所有信息。

当被问及他们如何入侵 Oracle 服务器时，该黑客表示，所有 Oracle Cloud 的服务器使用了一个已知存在漏洞的组件，并且该漏洞已经被公开披露（有 CVE 编号），但目前尚无公开的 POC（概念验证）或可用的攻击工具。

Oracle 官方：没有数据泄露，别听黑客胡说

在 rose87168 公布了一小部分数据后，Oracle 迅速作出回应，坚决否认发生了数据泄露：“Oracle Cloud 没有发生数据泄露。黑客发布的凭据并不属于 Oracle Cloud，没有 Oracle Cloud 客户遭遇数据泄露或数据丢失。”

然而，在 Oracle 公开否认后，黑客便立即向媒体和安全研究机构泄露了更多“证据”。

例如，黑客发布了一个 archive.org URL 并将其提供给媒体，暗示其确实拥有使用 Oracle 访问管理器的 login.us2.oraclecloud.com 服务的写入访问权限——要知道，该服务器完全由 Oracle 管理：

黑客还公开了数小时的 Oracle 内部会议录音，其中包括 Oracle 员工长达两个小时的交谈：

面对着这些接踵而来的“实锤”，截至目前 Oracle 并未解释为何黑客能够上传文件到 Oracle Cloud 服务器，也没有说明如何证明这些数据与 Oracle Cloud 无关。

安全研究机构也出手验证，结果 Oracle “被打脸”

除了以上黑客自己爆出的“证据”，rose87168 还向诸多安全研究机构泄露数据，以证明自己所言非虚。

很快，多家安全公司展开调查，得出了与 Oracle 完全相反的结论：

Hudson Rock：黑客公布的数据确实来自 Oracle Cloud，且凭据真实有效。

CloudSEK：黑客可能利用了 CVE-2021-35587 漏洞（Oracle Fusion Middleware 访问管理组件的零日漏洞）绕过身份验证，入侵了 Oracle Cloud 服务器。

Trustwave SpiderLabs：经过分析后确认，数据确实属于 Oracle Cloud。

为此，Hudson Rock 首席技术官 Alon Gal 在 LinkedIn 上发文表示：“Oracle 居然直接否认了数据泄露，而多家网络安全公司已经独立验证了数据的真实性，这简直令人难以置信。”

鉴于 Oracle 目前并未提供任何官方应对措施，安全机构 CloudSEK 建议受影响的企业先自行采取行动：

（1）立即轮换所有 SSO、LDAP 及相关账户密码，确保使用强密码策略，并启用多因素认证（MFA）。

（2）进行事件响应和安全取证，检查是否存在异常访问记录，防止进一步的攻击。

（3）加强威胁情报监测，持续关注黑客论坛，查看是否有自己公司的信息被泄露。

安全研究人员提醒道，即使 Oracle 继续保持沉默，受影响的公司也不能掉以轻心，必须主动应对，避免更大的损失。

参考链接：

4 月 2 日 20:00，CSDN《万有引力》栏目特别邀请到 OpenManus 项目一作、MetaGPT 开源核心贡献者梁新兵，DeepWisdom 算法研究员、OpenManus 核心作者向劲宇相聚 CSDN 视频号直播间，在 CSDN &《新程序员》执行总编、《万有引力》主理人唐小引主持下，一起聊聊 00 后程序员的故事，以及 OpenManus 背后的秘密！