Categoria: Vazamento de Dados

Oracle confirma violação de nuvem em privado para clientes

A Oracle finalmente reconheceu a alguns clientes que invasores roubaram credenciais antigas de clientes após violar um “ambiente legado” usado pela última vez em 2017, informou a Bloomberg.

No entanto, embora a Oracle tenha dito aos clientes que esses são dados antigos e não confidenciais, o agente da ameaça por trás do ataque compartilhou dados com o BleepingComputer do final de 2024 e publicou registros mais recentes de 2025 em um fórum de hackers.

De acordo com a Bloomberg , a empresa também informou aos clientes que a empresa de segurança cibernética CrowdStrike e o FBI estão investigando o incidente.

A empresa de segurança cibernética  CybelAngel  revelou pela primeira vez que a Oracle disse aos clientes que um invasor que obteve acesso aos servidores Gen 1 (também conhecidos como Oracle Cloud Classic) da empresa em janeiro de 2025 usou uma exploração do Java de 2020 para implantar um shell da web e malware adicional.

Durante a violação, detectada no final de fevereiro, o invasor supostamente exfiltrou dados do banco de dados do Oracle Identity Manager (IDM), incluindo e-mails de usuários, senhas com hash e nomes de usuários.

Isso ocorreu depois que um agente de ameaças (conhecido como rose87168) colocou à venda 6 milhões de registros de dados no BreachForums em 20 de março e divulgou vários arquivos de texto contendo um banco de dados de amostra, informações LDAP e uma lista de empresas como prova de que os dados eram legítimos, todos eles supostamente roubados dos servidores de login SSO federados da Oracle Cloud.

Fonte: BleepingComputer

A negação da Oracle em admitir que foi invadida.

Clientes da Oracle confirmam que dados roubados em suposta violação de Servidores na nuvem são válidos.

Apesar da Oracle negar uma violação de seus servidores de login SSO federados do Oracle Cloud e o roubo de dados de contas de 6 milhões de pessoas, a BleepingComputer confirmou com diversas empresas que as amostras de dados associadas compartilhadas pelo agente da ameaça são válidas.

Na semana passada, uma pessoa chamada ‘rose87168’ alegou ter violado servidores Oracle Cloud e começou a vender os supostos dados de autenticação e senhas criptografadas de 6 milhões de usuários. O agente da ameaça também disse que senhas SSO e LDAP roubadas poderiam ser descriptografadas usando as informações nos arquivos roubados e se ofereceu para compartilhar alguns dos dados com qualquer um que pudesse ajudar a recuperá-los.

O agente da ameaça divulgou vários arquivos de texto consistindo de um banco de dados, dados LDAP e uma lista de 140.621 domínios de empresas e agências governamentais que foram supostamente impactadas pela violação. Deve-se notar que alguns dos domínios da empresa parecem testes, e há vários domínios por empresa.

Fonte: BleepingComputer

Falha crítica no sistema do governo de São Paulo expõe RGs e CPFs de 45,36 milhões de pessoas

O que ocorre é o seguinte: No início de dezembro, enquanto testava algumas vulnerabilidades no sistema da Polícia Civil de São Paulo, encontrei um endpoint exposto que, por razões de segurança, não posso compartilhar agora para evitar vazamentos.O problema é que esse endpoint exibe, em tempo real, todas as pessoas que estão emitindo RG e CNH. Por exemplo, se Dona Maria acabou de solicitar seu RG, os dados já aparecem no sistema no exato momento em que o agente os insere. Essas informações estão publicamente acessíveis, o que abre margem para golpes contra quem acabou de emitir documentos.Se pessoas mal-intencionadas explorarem ainda mais essa falha, a Polícia Civil enfrentará sérios problemas, pois o sistema de login dos agentes não possui segurança reforçada. Cibercriminosos podem acessar fotos e dados de todos os cidadãos que emitiram CNH ou RG em São Paulo. O acesso depende apenas de um usuário e senha, e como há vazamentos frequentes de credenciais, qualquer um pode baixar listas e invadir contas de agentes governamentais.O ideal seria implementar um sistema de autenticação mais seguro, como certificados digitais ou restrição de acesso apenas a IPs autorizados, pois, no momento, qualquer pessoa pode acessar esses dados.Já tentei contatar o CTIR sobre essa falha em São Paulo, inclusive mencionando os endpoints expostos, mas não obtive resposta, mesmo após quatro tentativas de contato.Gostaria de deixar claro que não estou prejudicando ninguém. Outras pessoas já exploraram essa falha e vazaram 1,6 milhão de fotos de cidadãos paulistas. Investiguei o caso e identifiquei um dos responsáveis. Meu único objetivo é impedir que mais indivíduos com intenções criminosas façam o mesmo“.

Fonte: CISO Advisor