Um cibercriminoso identificado como “rose87168” colocou à venda, em um fórum clandestino, cerca de 6 milhões de dados pessoais de supostos usuários da Oracle, além de informações detalhadas sobre a infraestrutura da Oracle Cloud. O valor pedido pelo vazamento é de 100 mil XMR (Monero, uma criptomoeda focada em privacidade). O Brasil é um dos países mais afetados, com 4.387 domínios identificados no vazamento, impactando setores como finanças, telecomunicações, varejo e governo.
O que foi vazado?
De acordo com a publicação do cibercriminoso, os dados roubados incluem:
- Credenciais de clientes e usuários de SSO (Single Sign-On) e LDAP (Lightweight Directory Access Protocol).
- Arquivos JKS (Java KeyStore), senhas, arquivos de chaves e chaves JPS do Enterprise Manager.
- Hashes de senhas que, segundo o criminoso, podem ser quebrados para descriptografar as credenciais.
O ator também oferece a remoção seletiva de informações de empresas específicas em troca de pagamento, além de negociar exploits de dia zero (vulnerabilidades desconhecidas e não corrigidas).
Impacto no Brasil
A empresa de threat intelligence ZenoX, que analisou o caso em primeira mão, alerta que o vazamento tem um impacto significativo no Brasil, afetando:
- Instituições financeiras, incluindo grandes bancos, fintechs e seguradoras.
- Empresas de telecomunicações com milhões de usuários.
- Grandes varejistas e marketplaces com presença nacional.
- Companhias de tecnologia e processamento de dados financeiros.
- Setor siderúrgico, mídia, entretenimento e alimentício.
A ZenoX destaca que a exposição de informações de autenticação e estruturas de diretório pode representar riscos significativos para infraestruturas críticas e serviços essenciais no país.
Análise técnica
A ZenoX analisou os artefatos compartilhados pelo cibercriminoso e confirmou que as estruturas de diretório LDAP e os hashes de credenciais parecem autênticos, aumentando a credibilidade das alegações. A empresa também identificou padrões de hash consistentes com os algoritmos utilizados pela Oracle, embora alguns estejam parcialmente ofuscados.
Posicionamento da Oracle
A Oracle negou que tenha ocorrido uma violação de seus sistemas. Em comunicado ao site Bleeping Computer, a empresa afirmou: “Não houve qualquer violação do Oracle Cloud. As credenciais publicadas não são para o Oracle Cloud. Nenhum cliente do Oracle Cloud sofreu uma violação ou perdeu dados”.
No entanto, a ZenoX ressalta que as evidências apresentadas pelo cibercriminoso, incluindo estruturas de diretório específicas da Oracle e referências a tenantGuid (identificadores de clientes na nuvem), sugerem que o vazamento pode ser real.
Quem é o cibercriminoso?
O usuário “rose87168” é relativamente novo no fórum cibercriminoso onde anunciou o vazamento, mas possui status de “GOD User”, indicando um perfil premium. A conta foi criada em 3 de maio de 2025, aproximadamente dois meses antes da divulgação do ataque. A ZenoX acredita que o ator pode ter experiência prévia, já que em março de 2025 ele divulgou informações de funcionários do departamento de TI da DHL, incluindo nomes completos e e-mails corporativos.
Medidas de prevenção
Enquanto a situação não é completamente esclarecida, empresas que utilizam serviços da Oracle devem adotar medidas preventivas, como:
- Atualizar credenciais de acesso.
- Implementar autenticação multifator (MFA).
- Monitorar atividades suspeitas em sistemas e redes.
- Revisar políticas de segurança e realizar auditorias.
O vazamento de dados da Oracle, se confirmado, representa uma ameaça de alta severidade para organizações brasileiras, especialmente aquelas que lidam com dados sensíveis e operam em setores regulados. A combinação de credenciais vazadas, hashes de senhas e a possibilidade de exploits de dia zero aumenta o risco de ataques cibernéticos futuros. Enquanto a Oracle nega o vazamento, a comunidade de segurança cibernética recomenda cautela e a adoção de medidas proativas para mitigar possíveis danos.
