【安全圈】Oracle 因涉嫌云泄露事件被起诉，影响数百万美元

关键词

数据泄露

德克萨斯州目前正处于法律风暴的中心，此前有人就大规模云数据泄露事件对甲骨文公司提起了集体诉讼。该诉讼于 2025 年 3 月 31 日在美国德克萨斯州西区地方法院提起，指控甲骨文未能保护敏感信息并拒绝及时通知受影响的个人。

该漏洞最早由 Hackread.com于 2025 年 3 月 22 日报道。一名使用别名“rose87168”的黑客在 Breach Forums 上声称早在 2025 年 1 月就获得了对 Oracle 云基础设施的访问权限。据黑客称，被盗数据包括加密的 SSO 密码、Java KeyStore (JKS) 文件、企业管理器 JPS 密钥以及与 Oracle Cloud 的 SSO 和 LDAP 系统相关的用户凭据。据称，被盗数据集包含与大约 600 万用户相关的信息。

Oracle 公开否认了此次入侵，拒绝进一步阐述。然而，网络安全公司 CloudSEK 进行了自己的调查，并声称找到了入侵的“确凿证据”。2025 年 3 月 31 日，黑客在 Breach Forums 上发布了更多证据，包括内部 LDAP 记录和来自 Oracle 云环境的部分凭据。

据报道，一名论坛管理员核实了这些数据的真实性，尽管 Hackread.com 表示，在 Oracle 公开透明之前，它无法独立确认此次泄露事件的完全性。不过，根据 TechMundo 的报道，它分析了这些数据并发现它是合法的

Oracle 诉讼

2025 年 3 月 31 日，佛罗里达州居民原告 Michael Toikach 提起集体诉讼， 他声称他的私人信息通过使用 Oracle 软件的医疗保健提供商存储在 Oracle 系统中。投诉称 Oracle 未能达到行业标准的安全实践，并指控该公司疏忽、违反受托责任、不当得利和违反第三方受益人合同。

托伊卡奇声称，自从新闻曝光以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认违规行为后 60 天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。

更令人担忧的是被盗数据的性质。投诉强调，此次泄露不仅涉及个人身份信息 (PII)，还涉及敏感的健康数据。投诉引用了多个消息来源，包括彭博社和 HIPAA Journal，报道称 Oracle 已开始悄悄向一些医疗保健客户通报患者数据泄露事件。黑客的帖子威胁要公布受影响公司的完整名单，并表示如果这些公司付费删除员工记录，他们就会将特定组织排除在外。

起诉书列举了甲骨文的一系列失职行为，包括缺乏适当的加密、网络监控不力、未能及时发现或应对违规行为。起诉书还提到了甲骨文自己的公开隐私政策，该政策规定该公司将及时报告任何违规行为，但诉讼称甲骨文并未这样做。

由于要求赔偿损失、提供信用监控服务以及改革 Oracle 的数据安全基础设施，该集体诉讼将成为 Oracle 多年来面临的最重大法律挑战之一。此案还可能重新引发有关云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的争论。

目前 甲骨文尚未向法庭提交回应。

来源：https://hackread.com/oracle-lawsuit-over-cloud-breach-affecting-millions/

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！