Você já imaginou uma empresa gigante de tecnologia, como a Oracle, sendo acusada de encobrir uma violação de dados? Parece coisa de filme, né? Mas é exatamente sobre isso que vamos falar hoje: um suposto incidente de segurança na Oracle Cloud, com milhões de registros comprometidos e uma resposta da empresa que gerou ainda mais controvérsias.
A polêmica começou com um usuário anônimo, que afirma ter acessado sistemas de login de clientes da Oracle Cloud e obtido acesso a seis milhões de registros. Esses registros continham informações sensíveis, como senhas criptografadas, certificados de segurança e muito mais.
A Negação da Oracle e as Evidências
A Oracle negou veementemente qualquer violação em suas redes e sistemas. A empresa declarou que as credenciais publicadas não eram da Oracle Cloud e que nenhum cliente teve seus dados perdidos. No entanto, essa afirmação foi desafiada por especialistas em segurança cibernética.
Evidências e Análises Independentes
Um especialista em segurança recebeu amostras de dados que, segundo afirmações, foram obtidos do suposto vazamento. Essas amostras foram analisadas e confirmadas como sendo dados reais de clientes da Oracle. Outras empresas de segurança também corroboraram a existência do vazamento, apontando para uma vulnerabilidade conhecida e não corrigida pela Oracle.
A Vulnerabilidade CVE-2021-35587
As investigações apontam para a exploração da vulnerabilidade CVE-2021-35587, uma falha de segurança que permitia a invasão não autorizada de sistemas da Oracle Access Manager. Essa falha era conhecida desde 2021 e uma correção havia sido disponibilizada, mas aparentemente não foi aplicada pelos servidores da Oracle.
A Tentativa de Remoção de Evidências?
A controvérsia se aprofundou com a suspeita de que a Oracle tentou remover evidências do incidente, utilizando ferramentas de arquivamento online. Um arquivo deixado pelo usuário anônimo como prova da invasão foi removido, mas cópias ainda estão disponíveis em alguns arquivos de backup.
Reações e Consequências
Especialistas em segurança criticaram a Oracle por sua falta de transparência e por sua tentativa de minimizar o incidente. Um processo judicial foi aberto contra a empresa, alegando negligência na segurança e falta de notificação aos clientes. A ausência de uma resposta oficial por parte da Oracle aumenta as preocupações sobre a gravidade do ocorrido.
A situação levanta sérias questões sobre a segurança de dados em serviços de nuvem e a responsabilidade das empresas em proteger informações sensíveis de seus clientes. A falta de comunicação transparente da Oracle apenas exacerba o problema, gerando dúvidas e desconfiança.
Este caso destaca a importância da transparência e da responsabilidade das empresas de tecnologia na proteção dos dados de seus clientes. A negligência em corrigir vulnerabilidades conhecidas e a tentativa de encobrir o incidente são práticas inaceitáveis e podem gerar consequências graves para toda a indústria.
Deixe seu comentário abaixo com sua opinião sobre este caso! Compartilhe suas experiências com serviços de cloud e segurança de dados.
Fonte: The Register
