Ontem (20), cerca de seis milhões de dados pessoais de usuários Oracle foram colocados à venda em fórum cibercriminoso. Na publicação, um ator chamado “rose87168” oferece não apenas informações de clientes da empresa, mas também detalhes da infraestrutura Oracle Cloud, por um valor de 100 mil XMR (criptomoeda Monero). O Brasil é afetado.
Especificamente, o cibercriminoso afirma ter acessado os endpoints (terminal de comunicação) de “login.{regionname}.oraclecloud.com”.
“Olá, os servidores da Oracle foram hackeados (domains: login.(region-name).oraclecloud.com). Cerca de 6 milhões de dados de clientes e usuários de SSO e LDAP foram roubados. Arquivos JKS, senhas, arquivos de chaves e chaves JPS do Enterprise Manager também foram roubados”, escreveu “rose87168”.
A mensagem continua: “As senhas SSO são criptografadas e elas podem ser descriptografadas com os arquivos disponíveis. Também, a senha com hash LDAP pode ser quebrada. Eu listarei os domínios de todas as empresas neste vazamento. As empresas podem pagar uma quantia específica para remover as informações de seus funcionários da lista antes que ela seja vendida. Eu também posso negociar por explorações de dia zero”
Já são diversas as análises sobre o caso e o TecMundo recebeu em primeira mão um estudo da empresa de threat intelligence ZenoX.
A empresa comenta que o ator demonstra intenção de monetização por meio de um esquema de extorsão, oferecendo a remoção seletiva de informações mediante pagamento. “Os artefatos compartilhados pelo atacante no fórum incluem estruturas de diretório LDAP e hashes de credenciais que parecem autênticos, aumentando a credibilidade da alegação. Uma de nossas preocupações é a afirmação do ator sobre possuir capacidade de descriptografar os hashes de senha e sua troca por exploits zero-day”, diz a ZenoX.
Uma brecha de dia zero é uma vulnerabilidade de segurança desconhecida ou não corrigida. O termo "dia zero" refere-se ao fato da empresa/fornecedora do software, dispositivo ou sistema ter zero dias para corrigir a falha.
“A análise preliminar dos dados indica um impacto gigante em organizações brasileiras, incluindo instituições financeiras, órgãos governamentais e empresas de infraestrutura crítica”, alega a ZenoX. “Este incidente representa uma potencial ameaça de severidade alta à segurança das organizações que utilizam serviços de autenticação Oracle no mundo”.
Para confirmar a veracidade do relato, o site Bleeping Computer conseguiu se comunicar com o cibercriminoso e recebeu supostas evidências dos acessos não autorizados aos domínios da Oracle. Antes do contato, o veículo já havia recebido um posicionamento da empresa, que disse: "Não houve qualquer violação do Oracle Cloud. As credenciais publicadas não são para o Oracle Cloud. Nenhum cliente do Oracle Cloud sofreu uma violação ou perdeu dados”.
Em análise sobre o caso, a ZenoX traz a seguinte informação: “A estrutura LDAP exibida como amostra contém múltiplas tags consistentes com implementações Oracle Identity Management, incluindo campos como userPassword (com hash visível), objectClass hierarchies e estruturas de diretório específicas da Oracle, como cn=Groups e cn=systemIDGroups, bem como referências a tenantGuid que correspondem ao formato Oracle Cloud”.
A empresa também comenta que os padrões de hash exibidos na amostra são consistentes com os algoritmos de hash utilizados em implementações Oracle, “embora alguns estejam parcialmente ofuscados com asteriscos, presumivelmente para preservar o valor da informação completa”.
Quem é o cibercriminoso
Entender quem está por trás de ataques cibernéticos é uma tarefa importante, principalmente porque isso ajuda na prevenção de brechas dentro da cibersegurança — sejam técnicas ou humanas.
O Bleeping Computer conseguiu evidências, mas não teve uma comunicação com o ator para buscar mais informações sobre ele próprio e histórico de ataques (pelo menos até o momento).
Segundo a análise da ZenoX, que gastou um tempo avaliando o perfil do atacante, o usuário "rose87168" apresenta características de um usuário novo no fórum cibercriminoso em que tenta vender os dados.
“Sua conta possui status diferenciado, indicado pelo nome de usuário em amarelo e pela designação ‘GOD User’, sugerindo um status premium no fórum, mas que também pode ser obtido pagando um tipo de pacote. A conta foi criada recentemente, em 03-05-2025, aproximadamente dois meses antes da divulgação do comprometimento Oracle. Este padrão é consistente com atores que criam contas específicas para operações de grande impacto, minimizando a possibilidade de vinculação com outras atividades ou identidades online”.
Apesar de ser novo no fórum, supostamente este não foi seu primeiro ataque. Em 08 de março de 2025, o ator divulgou informações sobre funcionários do departamento de TI da DHL, incluindo nomes completos e endereços de e-mail corporativos, segundo a ZenoX.
Brasil afetado
O Brasil parece ser o segundo país mais afetado pelo vazamento com 4.387 domínios identificados.
A análise dos dados comprometidos feita pela ZenoX revela um cenário preocupante para diversos setores estratégicos da economia brasileira. Entre as organizações afetadas, encontram-se:
• Instituições financeiras, incluindo alguns dos maiores bancos do país, empresas de pagamentos e
seguradoras de diferentes portes
• Empresas de tecnologia e processamento de dados financeiros
• Companhias de telecomunicações que atendem milhões de brasileiros
• Grandes varejistas com presença nacional, tanto no setor físico quanto digital
• Empresas do setor siderúrgico com relevância internacional
• Companhias do setor de mídia e entretenimento
• Marketplaces e plataformas digitais com milhões de usuários
• Empresas do setor alimentício e redes de restaurantes
• Fintechs e instituições financeiras digitais em rápida expansão
Em seu relatório, a empresa afirma que “o impacto potencial deste vazamento para o mercado brasileiro é particularmente severo, considerando que muitas dessas organizações operam em setores regulados e lidam com dados sensíveis de consumidores. A exposição de informações de autenticação e estruturas de diretório pode representar riscos significativos para infraestruturas críticas nacionais e serviços essenciais. A concentração de organizações brasileiras entre as afetadas sugere também uma adoção significativa de soluções Oracle para gerenciamento de identidade e acesso no país, especialmente entre empresas de grande porte e setores regulados”.
Enquanto a última posição da Oracle foi negar o vazamento, ainda assim é importante atenção ao caso — principalmente porque houveram desdobramentos após a negativa. Empresas que utilizem serviços Oracle necessitam implementar medidas preventivas, como a atualização de credenciais e implementação de autenticação multifator, até que a situação seja completamente esclarecida.
- Conheça outros atores: Plump Spider, o grupo hacker que ataca brasileiros com golpes sofisticados
Denúncia
O TecMundo apoia o trabalho de empresas de cibersegurança e hackers éticos. Envie sua análise ou denúncia nos seguintes canais:
Categorias
![Imagem de: Home office: 66 vagas para trabalho remoto internacional [21/03]](https://tm.ibxk.com.br/2025/03/21/21162832237176.jpg?ims=288x165)
