导读：甲骨文最近致客户信函，称其部分公共云帝国确实遭到入侵，同时坚称甲骨文云基础设施未受影响，这在信息安全和技术社区引发了用户嘲笑和愤怒。

对于那些错过的用户，本周 Oracle 通过邮件发送给客户的这封通知是关于 Oracle 托管服务器的数据入侵与遭到偷窃。

让我们细说从头开始。

3月20日，入侵者将从甲骨文窃取的数据放到网络安全与犯罪论坛上出售。甲骨文花了大约18天才就此事联系客户，这充分说明了这家数据库巨头对此事的重视程度。

以下是Oracle 的原文摘录。

尊敬的 Oracle 客户，

>> 嗯，这听起来比“亲爱的等着被剪毛的羊”要好。

Oracle 明确声明，Oracle 云（也称为 Oracle 云基础设施）从未遭遇过安全漏洞。OCI 客户环境从未被入侵。OCI 客户数据从未被查看或窃取。OCI 服务也从未中断。

>>不错，但几乎没有人说OCI被攻破了。真正受到攻击的是Oracle Cloud Classic——Big Red的老旧数据库但仍在运行的平台。这简直是典型的推卸责任，让非技术人员报告没有发生安全漏洞，而事情显然已经发生了。

一名黑客确实从两个不属于 OCI 的过时服务器访问并发布了用户名。

我们承认自己受到了攻击，也承认我们把一些未打补丁的过时服务器留在互联网上，就像活靶子一样。

>> 事实上，这些服务器正是通过 Oracle 自己中间件上的一个漏洞被攻破的，而 Oracle 自己却忘记了修补。

这名黑客的用户名是rose87168，他吹嘘在这次突袭中窃取了六百万条客户记录——从安全密钥到加密密码，不一而足——并成功在甲骨文云登录服务器login.us2.oraclecloud.com上创建了一个文本文件。

如果甲骨文把这些东西都存放在两台“过时”的服务器上，那么它的IT资产里还剩下什么？

说明：黑客“rose87168”宣称攻破 Oracle Cloud 服务器，兜售 600 万用户的登录凭证和加密密码，其发布的文本文件包含数据库、LDAP 数据及 14 万企业和政府机构域名列表，部分域名疑似做为测试用途。

黑客没有泄露可用的密码，因为这两台服务器上的密码要么被加密，要么被散列。因此，黑客无法访问任何客户环境或客户数据。

>> 是的，希望 Oracle 已经将密码单向加密成哈希值。这是标准做法。考虑到这些服务器已经过时，显然最好不要使用过时的哈希函数。哈希密码并非一定无法破解。

如果您对本通知有任何疑问，请联系 Oracle 支持或您的 Oracle 客户经理。

>> 祝你好运！

编辑：万能的大雄

参考：bleepingcomputer