Brecha de datos en la plataforma Oracle Cloud

El 25 de marzo de 2025, el actor de amenazas Rose87168 publicó en un foro de ciberincidentes datos confidenciales robados de clientes de Oracle Cloud, afirmando poseer millones de registros vinculados a más de 140.000 usuarios de Oracle Cloud, incluidas credenciales cifradas. El hacker publicó 10.000 registros de clientes, un archivo que muestra el acceso a Oracle Cloud, credenciales de usuario y un vídeo interno como prueba.

El actor, activo desde enero de 2025, ha exigido pagos a las empresas afectadas para eliminar los datos de la filtración. En un principio, intentó extorsionar a Oracle por 20 millones de dólares, pero más tarde ofreció los datos robados para su venta o a cambio de supuestos exploits de día cero.

Oracle ha negado las afirmaciones del actor de la amenaza, afirmando que no hubo violación de seguridad de Oracle Cloud y que las credenciales filtradas no estaban relacionadas. La compañía aseguró que ningún dato de clientes se vio comprometido. Sin embargo, varios medios informaron de que varias empresas les han confirmado que los datos filtrados de Oracle son auténticos e incluyen nombres LDAP, correos electrónicos y otros registros. De hecho, la firma de ciberseguridad Cloudsek, señaló que existía una versión vulnerable de Oracle Fusion Middleware ejecutándose en el servidor comprometido. Oracle ha desconectado el servidor desde entonces.

Por otro lado, mientras el FBI y CrowdStrike están investigando el incidente, se ha detectado que Oracle ha estado notificando en privado a sus clientes de una brecha que afecta a nombres de usuario, claves de acceso y contraseñas cifradas. Investigadores afirman que Oracle solo ha enviado notificaciones verbales de la filtración a sus clientes de la nube, sin comunicación escrita.