Março de 2025 será lembrado como um mês negro para a segurança na nuvem. A Oracle Cloud, um dos maiores provedores de infraestrutura em nuvem do mundo, sofreu um vazamento massivo que expôs aproximadamente 6 milhões de registros e potencialmente afetou mais de 140.000 tenants (clientes).
O que aconteceu?
Em 21 de março de 2025, um agente de ameaça identificado como “Rose87168” anunciou em fóruns underground a venda de credenciais supostamente obtidas de servidores da Oracle Cloud. Os dados incluíam arquivos JKS (Java KeyStore), senhas SSO criptografadas, hashes de senha, arquivos de chaves e chaves JPS (Java Process Status).
Inicialmente, a Oracle negou veementemente qualquer violação em sua infraestrutura principal. No entanto, relatórios posteriores confirmaram que a empresa reconheceu privadamente a determinados clientes que um breach ocorreu, afetando ambientes “legados” mais antigos.
Como os atacantes invadiram?
A vulnerabilidade explorada foi identificada como CVE-2021-35587, uma falha crítica no Oracle Access Manager com pontuação CVSS 9.8 (máxima gravidade). Esta vulnerabilidade permite que atacantes contornem autenticação e obtenham acesso não autorizado a sistemas.
O fato de uma vulnerabilidade de 2021 ter sido explorada em 2025 levanta sérias questões sobre práticas de patching e gestão de vulnerabilidades em ambientes corporativos críticos.
Por que isso é grave?
Os dados expostos são extremamente sensíveis. Arquivos JKS e chaves de acesso podem permitir que atacantes se autentiquem como usuários legítimos, acessem sistemas corporativos, movam-se lateralmente pela rede e escalem privilégios.
A CloudSEK, empresa de segurança que investigou o incidente, classificou a ameaça como de alta severidade. O ator da ameaça, embora não tenha histórico anterior, demonstrou alta sofisticação em seus métodos.
Este breach é apenas um de vários em março de 2025. Outros incidentes notáveis incluíram o vazamento na NYU (3 milhões de candidatos), New York University (1 milhão de estudantes) e o ataque ao app SpyX (2 milhões de usuários).
O que fazer se você é cliente Oracle?
Especialistas em segurança recomendam ações imediatas:
- Atualize imediatamente todos os componentes do Oracle Fusion Middleware
- Rode todas as senhas e certificados de segurança
- Monitore logs de acesso em busca de atividades suspeitas
- Implemente autenticação multifator (MFA) em todos os sistemas críticos
- Revise configurações de acesso e remova credenciais não utilizadas
Lições para o setor
O incidente Oracle destaca vulnerabilidades críticas em ambientes de nuvem híbrida e legada. A falta de transparência inicial da empresa também demonstra como a comunicação tardia pode erodir confiança.
Para empresas brasileiras, a mensagem é clara: patching não é opcional, segurança de credenciais deve ser prioridade máxima, e planos de resposta a incidentes precisam ser testados regularmente.
Conclusão prática
A Oracle confirmou que a CrowdStrike e o FBI estão investigando o incidente. Enquanto isso, clientes devem assumir uma postura de “zero trust” – verificando constantemente acessos e reforçando controles de segurança.
Este breach serve como um alerta: nenhuma organização, por maior que seja, está imune a ataques cibernéticos. A única defesa viável é a vigilância constante e a preparação contínua.
