A Oracle finalmente reconheceu a alguns clientes que invasores roubaram credenciais antigas de clientes após violar um “ambiente legado” usado pela última vez em 2017, informou a Bloomberg.
No entanto, embora a Oracle tenha dito aos clientes que esses são dados antigos e não confidenciais, o agente da ameaça por trás do ataque compartilhou dados com o BleepingComputer do final de 2024 e publicou registros mais recentes de 2025 em um fórum de hackers.
De acordo com a Bloomberg , a empresa também informou aos clientes que a empresa de segurança cibernética CrowdStrike e o FBI estão investigando o incidente.
A empresa de segurança cibernética CybelAngel revelou pela primeira vez que a Oracle disse aos clientes que um invasor que obteve acesso aos servidores Gen 1 (também conhecidos como Oracle Cloud Classic) da empresa em janeiro de 2025 usou uma exploração do Java de 2020 para implantar um shell da web e malware adicional.
Durante a violação, detectada no final de fevereiro, o invasor supostamente exfiltrou dados do banco de dados do Oracle Identity Manager (IDM), incluindo e-mails de usuários, senhas com hash e nomes de usuários.
Isso ocorreu depois que um agente de ameaças (conhecido como rose87168) colocou à venda 6 milhões de registros de dados no BreachForums em 20 de março e divulgou vários arquivos de texto contendo um banco de dados de amostra, informações LDAP e uma lista de empresas como prova de que os dados eram legítimos, todos eles supostamente roubados dos servidores de login SSO federados da Oracle Cloud.
Fonte: BleepingComputer
