Um vazamento de dados da Oracle expôs informações de milhões de usuários, gerando preocupação sobre a segurança de dados pessoais. A dimensão do incidente e a resposta inicial da empresa chamam a atenção para a importância da proteção de dados no cenário digital atual. O caso levanta questões sobre as medidas de segurança adotadas pelas empresas e os riscos que os usuários enfrentam constantemente.
O Impacto do Vazamento de Dados da Oracle
Na última quinta-feira (20), aproximadamente seis milhões de dados pessoais de usuários da Oracle foram disponibilizados para venda em um fórum cibercriminoso. A oferta incluía não apenas informações de clientes, mas também detalhes da infraestrutura Oracle Cloud, com um valor estipulado em 100 mil XMR (criptomoeda Monero). O Brasil está entre os países afetados por este incidente.
O cibercriminoso, identificado como “rose87168”, alegou ter acessado os endpoints de “login.{regionname}.oraclecloud.com”. Em sua mensagem, o invasor detalhou o tipo de informação obtida: dados de clientes, usuários de SSO (Single Sign-On) e LDAP (Lightweight Directory Access Protocol). Além disso, mencionou o roubo de arquivos JKS (Java KeyStore), senhas, arquivos de chaves e chaves JPS (Java Platform Security) do Enterprise Manager.
O invasor ainda afirmou que as senhas SSO estão criptografadas, mas podem ser descriptografadas com os arquivos disponíveis. A senha com hash LDAP também poderia ser quebrada. Para aumentar a pressão, ofereceu às empresas a opção de pagar para remover as informações de seus funcionários da lista antes que fossem vendidas, além de se mostrar aberto a negociações por exploits de dia zero.
O TecMundo teve acesso a um estudo preliminar da empresa de threat intelligence ZenoX, que analisou o caso. A ZenoX destaca a intenção de monetização do cibercriminoso através de extorsão, oferecendo a remoção seletiva de informações mediante pagamento. Os artefatos compartilhados no fórum, como estruturas de diretório LDAP e hashes de credenciais, parecem autênticos, aumentando a credibilidade das alegações.
Leia também:
Análise Preliminar do Vazamento de Dados da Oracle
A ZenoX também expressou preocupação com a alegação do invasor de possuir a capacidade de descriptografar os hashes de senha e sua disposição para trocar informações por exploits de dia zero. Um exploit de dia zero é uma vulnerabilidade de segurança desconhecida ou não corrigida, o que significa que a empresa tem zero dias para corrigir a falha.
A análise inicial dos dados aponta para um impacto significativo em organizações brasileiras, incluindo instituições financeiras, órgãos governamentais e empresas de infraestrutura crítica. Este incidente representa uma potencial ameaça de alta severidade à segurança das organizações que utilizam serviços de autenticação Oracle em todo o mundo.
Para verificar a veracidade das informações, o site Bleeping Computer entrou em contato com o cibercriminoso e recebeu evidências dos acessos não autorizados aos domínios da Oracle. Anteriormente, a empresa havia declarado que não houve qualquer violação do Oracle Cloud e que as credenciais publicadas não eram para o Oracle Cloud. A Oracle afirmou que nenhum cliente sofreu uma violação ou perdeu dados.
A ZenoX, em sua análise, contrapôs a declaração da Oracle, afirmando que a estrutura LDAP exibida como amostra contém múltiplas tags consistentes com implementações Oracle Identity Management. Isso inclui campos como userPassword (com hash visível), hierarquias objectClass e estruturas de diretório específicas da Oracle, como cn=Groups e cn=systemIDGroups, além de referências a tenantGuid que correspondem ao formato Oracle Cloud.
Quem é o Cibercriminoso por Trás do Ataque?
Identificar os responsáveis por trás de ataques cibernéticos é crucial para a prevenção de futuras brechas de segurança. Embora o Bleeping Computer tenha obtido evidências, não conseguiu informações adicionais sobre o invasor e seu histórico de ataques até o momento.
A análise da ZenoX revelou que o usuário “rose87168” aparenta ser novo no fórum cibercriminoso onde os dados foram colocados à venda. Sua conta possui um status diferenciado, indicado pelo nome de usuário em amarelo e pela designação “GOD User”, o que sugere um status premium no fórum.
A conta foi criada recentemente, em 03 de maio de 2025, aproximadamente dois meses antes da divulgação do comprometimento da Oracle. Esse padrão é consistente com atores que criam contas específicas para operações de grande impacto, minimizando a possibilidade de vinculação com outras atividades ou identidades online.
Apesar de ser novo no fórum, este não seria o primeiro ataque do cibercriminoso. Em 08 de março de 2025, ele divulgou informações sobre funcionários do departamento de TI da DHL, incluindo nomes completos e endereços de e-mail corporativos, segundo a ZenoX.
Impacto no Brasil Após o Vazamento de Dados da Oracle
O Brasil é o segundo país mais afetado pelo vazamento de dados da Oracle, com 4.387 domínios identificados. A análise dos dados comprometidos revela um cenário preocupante para diversos setores estratégicos da economia brasileira.
Entre as organizações afetadas, encontram-se instituições financeiras (incluindo alguns dos maiores bancos do país), empresas de pagamentos, seguradoras de diferentes portes, empresas de tecnologia e processamento de dados financeiros, companhias de telecomunicações, grandes varejistas com presença nacional, empresas do setor siderúrgico, companhias do setor de mídia e entretenimento, marketplaces, plataformas digitais, empresas do setor alimentício e fintechs.
A ZenoX alerta que o impacto potencial deste vazamento de dados da Oracle para o mercado brasileiro é particularmente severo, considerando que muitas dessas organizações operam em setores regulados e lidam com dados sensíveis de consumidores. A exposição de informações de autenticação e estruturas de diretório pode representar riscos significativos para infraestruturas críticas nacionais e serviços essenciais.
A concentração de organizações brasileiras entre as afetadas sugere uma adoção significativa de soluções Oracle para gerenciamento de identidade e acesso no país, especialmente entre empresas de grande porte e setores regulados. Apesar da negativa inicial da Oracle, é crucial que as empresas que utilizam seus serviços implementem medidas preventivas, como a atualização de credenciais e a implementação de autenticação multifator, até que a situação seja completamente esclarecida.
O TecMundo apoia o trabalho de empresas de cibersegurança e hackers éticos e encoraja o envio de análises ou denúncias para os canais disponibilizados.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via TecMundo
