写点什么

Oracle 云被曝史诗级数据泄露,企业用户如何自救

作者:YashanDB
  • 2025-05-08
    广东
  • 本文字数:2305 字

    阅读完需:约 8 分钟

Oracle 云被曝史诗级数据泄露,企业用户如何自救

 

导语

2025 年 3 月,Oracle 的一场云安全事故席卷全球 600 万用户。黑客利用老旧系统漏洞,窃取核心用户敏感数据并公开勒索,而 Oracle 的“逃避式公关”和“技术债务”更将事件推向舆论深渊。这场事故不仅暴露了 Oracle 的系统性隐患,也为行业敲响安全警钟。

 

事件回顾

全球性事故曝光

今年 3 月 20 日,一位名为“rose87168”的黑客发帖宣称,已成功入侵至少两个 Oracle 云客户的登录系统,并窃取了约六百万条记录,包括加密密码、Java 密钥库(JKS)、LDAP 记录、安全证书等敏感数据。



图:黑客 rose87168 发帖宣称入侵 Oracle 云

随后,rose87168 开始在暗网兜售数据,并对受影响企业发起敲诈勒索。按照这名黑客的说法,此次泄露涉及 14 万 Oracle Cloud 租户,覆盖银行、食品、教育、金融、医疗等各领域,名单中不仅有美国企业,还有包括超 1000 个使用“.cn”域名的中国企业/个人在内的各国用户,其中不乏多家知名上市公司。毫无疑问,这是一起全球性的严重 IT 事故。

Oracle 争议性应对

玩“文字游戏”,否认泄露事故

事件初期,Oracle 公开声明“Oracle Cloud 未发生任何泄露”,将责任推卸至“已停用 8 年的旧版系统”,称泄露数据来自未迁移至新云平台的旧环境。

对此,网络安全专家 Kevin Beaumont 指出,Oracle 通过“非常具体的措辞”逃避责任,例如将问题限定在“Oracle Cloud”而非整体服务,但客户数据实际仍由 Oracle 管理。

删除入侵证据,掩盖漏洞细节

Oracle 随后被曝出删除 Archive.org 等平台的历史页面记录,试图消除旧系统架构未更新的证据。此外,Oracle 拒绝公开事件相关漏洞的技术细节和修复进展。

研究人员通过技术手段恢复被删除的页面,证实 Oracle 部分核心系统超过十年未更新,且这些系统仍存储着用户敏感数据。



图:Oracle 要求 Archive.org 删除网站时光机留存的页面记录

私下通知客户,规避披露义务

事件曝光后,Oracle 仅在私下向部分医疗客户发送通知,承认旧服务器数据泄露,但未向所有受影响企业公开披露。

目前,佛州、德州等地律所已相继对 Oracle 发起集体诉讼,指控其泄露原告方的敏感数据。诉状称,尽管在隐私政策中 Oracle 承诺“毫不拖延”地向客户报告所有数据泄露事件,但被告并未履行其数据披露义务。

归咎供应链漏洞,弱化自身责任

Oracle 试图将攻击归因于第三方组件(如存在缺陷的 Java 服务),转移对自身安全管理失职的指责。然而安全公司 CloudSEK 的后续分析指出,黑客利用的漏洞在 Oracle 自身产品 Oracle Fusion Middleware 中,与第三方无关 。

Oracle 的应对显然引起了各方不满,安全专家 Lisa Forte 等人批评 Oracle“逃避文化”不可接受,硅谷评论则直指 Oracle“贩卖技术垃圾”。

根因分析

老旧系统安全隐患

本次事故中,涉事服务器运行的是已停产的 Oracle Fusion Middleware 11g,该老旧系统超过 10 年未更新,就像一颗“定时炸弹”。攻击者利用的 CVE-2021-35587 漏洞早在 2022 年已被 CISA 列为已知可利用漏洞,但 Oracle 未及时修复遗留系统。

案例启示

强制漏洞修复 SLA

针对云服务商或其它软件供应商,企业客户应要求其承诺关键漏洞修复周期(如高危漏洞≤7 天),并在合同中明确罚则。

存量系统定期体检

存量 IT 系统就像“定时炸弹”存在安全隐患,建议企业客户建立动态资产管理清单,定期扫描未迁移与升级的旧系统,强制清理或隔离过期敏感数据。

严格管控权限与密钥

本次事件中,攻击者通过横向移动获取 JKS 文件与 SSO 密码,暴露了用户密钥存储分散、权限过度宽松的问题。建议客户采用密钥集中化托管,禁止本地存储密钥;并采用最小化权限策略,通过 RBAC 策略限制服务账户权限。

建立日志审计方案

本次事件初期,Oracle 否认入侵以逃避职责,是安全社区通过日志分析“打脸”暴露其监控盲区。建议企业客户对 IT 系统日志集中化管理,以应对权责“扯皮”,有力维权。

选择可信赖的供应商

尽管美国和欧盟都有细致严格的数据安全监管法规,Oracle 也是全球知名的基础软件巨头,但这次事件依然暴露其在日常运维与事故处理中存在多方面漏洞。建议企业客户将安全、透明、周到的服务运维能力纳入优先考虑,挑选能够“不负所托”的可信赖供应商。

 

崖山数据库 YashanDB 简介

崖山数据库系统 YashanDB 是深圳计算科学研究院自主设计研发的新型数据库管理系统,融入原创的有界计算、近似计算、并行可扩展和跨模融合计算理论,可满足金融、政企、能源等关键行业对高性能、高并发及高安全性的要求。

  1. 自主创新,信创生态:经权威机构测试,内核代码自主率 100%;全面支持信创技术生态,当前已兼容适配国产主流软硬件。

  2. 核心替代,Oracle 兼容: 顶尖团队“核心理论+系统架构 +工程能力”三位一体,内核采用先进架构,大压力下稳定可靠、资源平稳;语法、语义、高级特性、产品生态全面兼容主流生态。

  3. 卓越性能,极致性价比:基于 NUMA 架构全新设计异步并行框架,适应众核 CPU,提供极致性能;具备 License/MA 费用低、应用改造成本低、维护及人力成本投入低等特征,提供极致性价比。

  4. 共享集群,金融级高可用:全自研共享集群提供大小机下移+共享集群高端核心交易场景的完整直接替代方案;多地多中心灾备及全数据中心多活,提供金融及高可用和容灾能力。

  5. 源头创新,计算加速:提供分布式引擎、火山/向量引擎、行列存引擎三大引擎,支持数据实时可见可改、实时分析与海量数据交互式分析;基于有界的透明计算加速,实现最高万倍的性能提升。

  6. 应用平滑迁移:在应用层提供对主流商业、开源生态的全面兼容,应用无需大量改造,用户可以用最小的成本和代价完成迁移,并提供自动评估和迁移工具,完成一键迁移。

  7. 周到服务,客户至上:7*24 服务不间断,专属客户经理提供咨询到交付全栈方案;服务体系资质完备,流程健全;专家队伍配备自动化工具箱、智能运维助手,以“新”求质,塑造卓越服务体验。

 

用户头像

YashanDB

关注

全自研国产新型大数据管理系统 2022-02-15 加入

还未添加个人简介

评论

发布
暂无评论
Oracle云被曝史诗级数据泄露,企业用户如何自救_YashanDB_InfoQ写作社区