No dia 20 de março de 2025, um ator identificado como “rose87168” anunciou, em um fórum de cibercriminosos, que teria invadido servidores da Oracle e obtido acesso a cerca de seis milhões de dados de usuários.
Ele afirmou que informações de clientes, credenciais de autenticação SSO e LDAP, além de outros arquivos, incluindo JKS, chaves criptográficas e dados do Enterprise Manager, teriam sido comprometidos.
Segundo o criminoso, as senhas SSO estariam criptografadas, mas poderiam ser descriptografadas com os arquivos disponíveis
Ele ainda alegou que divulgaria os domínios de todas as empresas afetadas e ofereceu a possibilidade de remover informações específicas mediante pagamento, além de negociar exploits de dia zero.
Brechas de dia zero referem-se a falhas de segurança desconhecidas ou ainda não corrigidas, dando às empresas afetadas nenhum tempo para mitigação antes de um possível ataque.
O caso tem sido analisado por especialistas em segurança digital, incluindo a empresa de threat intelligence ZenoX, que identificou um esquema de extorsão no vazamento.
De acordo com a ZenoX, os materiais compartilhados no fórum incluem estruturas de diretório LDAP e hashes de credenciais que parecem autênticos, reforçando a credibilidade da ameaça.
Além disso, a alegação de que o criminoso seria capaz de descriptografar os hashes de senha e negociar vulnerabilidades inexploradas eleva o risco do incidente.
A análise inicial da ZenoX aponta que o impacto do vazamento pode ser severo, especialmente para o Brasil, que estaria entre os países mais afetados, com 4.387 domínios potencialmente comprometidos.
Entre os setores mais atingidos estão instituições financeiras, empresas de tecnologia, telecomunicações, varejo, siderurgia, mídia, marketplaces, redes de restaurantes e fintechs.
O relatório também destaca que, devido à forte adoção de soluções Oracle por grandes empresas e setores regulados no Brasil, o incidente pode representar riscos significativos para infraestruturas críticas e serviços essenciais.
Apesar das evidências apresentadas, a Oracle negou qualquer violação em seu ambiente de nuvem, afirmando que as credenciais divulgadas não pertencem ao Oracle Cloud e que nenhum de seus clientes sofreu perda de dados.
Diante da incerteza sobre a veracidade do ataque, recomendamos que empresas que utilizam serviços Oracle adotem medidas preventivas, como a alteração de credenciais e a implementação de autenticação multifator, até que a situação seja completamente esclarecida.
Para as empresas que já estão adequadas à Lei Geral de Proteção de Dados (LGPD), é hora de aplicar o protocolo de mitigação de riscos e danos, mas se a empresa ainda não fez esse processo, os riscos são maiores.
Nesses momentos, onde incidentes de segurança em terceiros nos afetam é que vemos a importância do processo de adequação à Lei Geral de Proteção de Dados que protege não só os dados mais a integridade de toda empresa.
