曝 600 万条数据被盗，Oracle 立即否认，却遭黑客火速“打脸”？

我们没有被黑客攻击。”——Oracle

“不，你们的数据正在被出售。”——黑客 rose87168

3月20日，一个 ID 为"rose87168"的黑客在 BreachForums 论坛上发帖，声称已成功入侵 Oracle Cloud 的联邦 SSO（单点登录）服务器，并窃取了大约600万条用户记录，影响超过144，000家 Oracle 客户。

一般而言，当企业遭遇数据泄露，通常会在第一时间向用户发出安全警告，并采取应急响应措施。但在 Oracle 这里，情况却有些特殊——确实迅速作出回应了，却只是坚决否认发生了数据泄露。

然而，打脸来得很快:这不到半个月的时间里，已有多家安全研究机构证实了Oracle的数据泄露事件属实:被盗数据是真的!黑客所说的漏洞也是真的!黑客:我们入侵了 Oracle Cloud，并窃取了600万条记录

据黑客rose87168描述，其窃取的数据包括:加密的 SSO 密码、LDAP（轻量级目录访问协议）信息、OAut

h2密钥、Java Keystore（JKS）文件、Oracle 企业管理工具的 JPS 密钥等等。

rose87168声称，这些数据是通过入侵 login.（region-name）.oraclecloud.com 服务器

后获取的:“SSO 密码是加密的，但可以使用现有文件解密，LDAP 哈希密码也可以被破解。

除此之外，rose87168还提供了一份 Oracle 内部客户名单，并威胁称:

（1）企业可支付“赎金”来删除自己员工的泄露信息，否则这些数据将被售卖。

（2）任何人只要能帮助他们破解 SSO 密码或 LDAP 哈希密码，都可以获得部分数据作为交换。

根据 rose87168的说法，其团队早在40天前就已经成功入侵 Oracle Cloud 服务器，并从 US2和 EM2云区域窃取数据。在邮件交流中，rose87168表示，他们要求 Oracle 支付10万枚门罗币（XMR），以换取完整的入侵细节，但 Oracle 拒绝支付，仅要求提供修复漏洞所需的所有信息。

当被问及他们如何入侵 Oracle 服务器时，该黑客表示，所有Oracle Cloud 的服务器使用了一个已知存在漏洞的组件，并且该漏洞已经被公开披露（有 CVE 编号），但目前尚无公开的 POC(概念验证)或可用的攻击工具。

Oracle 官方:没有数据泄露，别听黑客胡说

在rose87168公布了一小部分数据后，Oracle 迅速作出回应，坚决否认发生了数据泄露:“Oracle Cloud 没有发生数据泄露。黑客发布的凭据并不属于 Oracle Cloud，没有 Oracle Cloud 客户遭遇数据泄露或数据丢失。”

然而，在 Oracle 公开否认后，黑客便立即向媒体和安全研究机构泄露了更多“证据”。

例如，黑客发布了一个 archive.org URL 并将其提供给媒体，暗示其确实拥有使用 Oracle 访问管理器的 login.us2.oraclecloud.com 服务的写入访问权限——要知道，该服务器完全由 Oracle 管理:

黑客还公开了数小时的 Oracle 内部会议录音，其中包括 Oracle 员工长达两个小时的交谈:

面对着这些接踵而来的“实锤”，截至目前Oracle 并未解释为何黑客能够上传文件到 Oracle Cloud 服务器，也没有说明如何证明这些数据与 Oracle Cloud 无关。

安全研究机构也出手验证，结果 Oracle “被打脸”

除了以上黑客自己爆出的“证据”，rose87168还向诸多安全研究机构泄露数据，以证明自己所言非虚。

很快，多家安全公司展开调查，得出了与 Oracle 完全相反的结论:

Hudson Rock:黑客公布的数据确实来自 Oracle Cloud，且凭据真实有效。

CloudSEK:黑客可能利用了 CVE-2021-35587漏洞（Oracle Fusion Middleware 访问管理组件的零日漏洞）绕过身份验证，入侵了 Oracle Cloud 服务器。

Trustwave SpiderLabs:经过分析后确认，数据确实属于 Oracle Cloud。

为此，Hudson Rock 首席技术官 Alon Gal 在 LinkedIn 上发文表示:“Oracle 居然直接否认了数据泄露，而多家网络安全公司已经独立验证了数据的真实性，这简直令人难以置信。”

鉴于 Oracle 目前并未提供任何官方应对措施，安全机构CloudSEK建议受影响的企业先自行采取行动:

（1）立即轮换所有 SSO、LDAP 及相关账户密码，确保使用强密码策略，并启用多因素认证(MFA)。

（2）进行事件响应和安全取证，检查是否存在异常访问记录，防止进一步的攻击。

（3）加强威胁情报监测，持续关注黑客论坛，查看是否有自己公司的信息被泄露。

安全研究人员提醒道，即使 Oracle 继续保持沉默，受影响的公司也不能掉以轻心，必须主动应对，避免更大的损失。

参考链接:

https://www.techspot.com/news/107362-oracle-hid-serious-data-breach-customers-now-hacker.html

https://doublepulsar.com/oracle-attempt-to-hide-serious-cybersecurity-incident-from-customers-in-oracle-saas-service-9231c8daff4a