甲骨文承认“淘汰服务器”遭入侵坚称核心云平台未受影响

摘要：甲骨文公司持续淡化今年初遭遇的数据泄露事件，在本周发送给客户的邮件中坚称，此次黑客攻击未涉及其核心平台Oracle Cloud Infrastructure（OCI，甲骨文云基础设施）。通常情况下，此类否认声明意味着事件终结，但本次泄露的特殊性及甲骨文近几周令

甲骨文公司持续淡化今年初遭遇的数据泄露事件，在本周发送给客户的邮件中坚称，此次黑客攻击未涉及其核心平台Oracle Cloud Infrastructure（OCI，甲骨文云基础设施）。通常情况下，此类否认声明意味着事件终结，但本次泄露的特殊性及甲骨文近几周令人困惑的回应，使得外界开始质疑该公司的说法。

官方说明与黑客说辞

甲骨文转交给本刊的邮件声称，事件仅涉及"两台淘汰服务器"，与OCI或任何客户云环境无关。邮件强调："甲骨文明确声明，Oracle Cloud（即OCI）未发生安全漏洞。没有任何OCI客户环境被侵入，没有OCI客户数据被查看或窃取，OCI服务也未受到任何形式的中断或破坏。"邮件还指出，由于密码均经过加密和/或哈希处理，黑客未能获取任何客户环境或数据。

事件时间线

3月，化名"rose87168"的黑客在论坛公开宣称从甲骨文云平台窃取了600万单点登录（SSO）和轻量目录访问协议（LDAP）凭证等敏感数据。若属实，这将造成重大影响——即使经过专业哈希处理，这些凭证的泄露仍是云服务商和客户都不愿看到的。

黑客向Bleeping Computer透露，其于2月入侵甲骨文系统后曾尝试勒索未果。安全公司Trustwave警告，即便哈希值安全，泄露的个人身份信息（PII）仍可能被用于定向攻击，包括姓名、邮箱、职务、部门编号及联系方式等。研究人员指出："此类泄露可能导致数据泄露责任、监管处罚、声誉损害、业务中断及客户信任长期受损。"

4月初，甲骨文改口承认遭遇入侵，但称数据来自2017年的"遗留环境"（即Oracle Classic），并透露FBI和CrowdStrike正在调查。此外，其医疗子公司Oracle Health还遭遇另一起"网络安全事件"。

疑点浮现

黑客随后展示的证据显示其曾访问login.us2.oraclecloud.com——该服务属于甲骨文身份管理系统Oracle Access Manager的一部分。部分泄露数据标注时间为2024-2025年，与甲骨文"陈旧数据"的说法矛盾。

安全研究员Kevin Beaumont指出，甲骨文通过术语游戏区分承认被入侵的Oracle Classic与否认受影响的OCI："甲骨文将旧云服务更名为Oracle Classic，出事的正是这部分。他们通过定义范围否认'Oracle Cloud'受影响，但这仍是甲骨文管理的云服务。"据透露，甲骨文已私下联系多家客户确认存在某种入侵。

当前，甲骨文仍坚持其核心OCI平台未受影响，但沟通不畅导致的混乱本可避免。对任何组织而言，应对入侵已极具挑战，而与客户、媒体和研究人员的沟通难题有时更甚。事件公开数周后，诸多疑点仍未完全澄清。