2025年的最大供應(yīng)鏈黑客攻擊：媒體曝光600萬(wàn)條記錄從 Oracle Cloud 泄露。Oracle 對(duì)此矢口否認(rèn)，但已經(jīng)有客戶驗(yàn)證了公開(kāi)樣本的真實(shí)性。

黑客 Rose87168在 BreachForm 上叫賣這份數(shù)據(jù)。包括600萬(wàn)用戶的身份認(rèn)證數(shù)據(jù)與加密密碼，涉及到14萬(wàn)個(gè)域名。并且還在服務(wù)器上留下到此一游的文本文件。

距離數(shù)據(jù)發(fā)布在暗網(wǎng)論壇上已經(jīng)過(guò)去一周了，根據(jù)歐盟 GDPR 的規(guī)定，數(shù)據(jù)泄漏的72小時(shí)如果沒(méi)有及時(shí)披露與通知，可能面臨年?duì)I收百分比的巨額罰款。

GPT 估算 Oracle 企業(yè)客戶數(shù)量在數(shù)萬(wàn)量級(jí)，這讓人懷疑這次是不是所有客戶的身份認(rèn)證數(shù)據(jù)庫(kù)都被一鍋端了。如果是，那又是云計(jì)算歷史上的史無(wú)前例的驚天故障，考慮到他們還有很多政企客戶，這下樂(lè)子大了。

據(jù) CloudSEK 驗(yàn)證，login.us2.oraclecloud.com 是生產(chǎn) SSO 服務(wù)器，還在跑 Oracle Fusion Middleware 11g —— 16年前發(fā)布的軟件版本，現(xiàn)在早就 EOL 了，而且有一個(gè)重大安全漏洞 CVE-2021-35587。（不是哥們這是你自家的軟件啊，你自己還在跑過(guò)時(shí)漏洞版本也不給自己打補(bǔ)丁的嗎？）

我的朋友瑞典馬工一直主張深度上云，擁抱云廠商的身份認(rèn)證基礎(chǔ)設(shè)施 IAM / RAM。我相信這次事故會(huì)給他好好再上一課 —— 云廠商提供的認(rèn)證基礎(chǔ)設(shè)施并非是什么無(wú)條件可靠的信任根，它一樣會(huì)掛會(huì)泄漏。

上次阿里云 IAM/OSS 循環(huán)依賴導(dǎo)致的全球大故障已經(jīng)體現(xiàn)了依賴云上的認(rèn)證體系存在額外的可用性安全風(fēng)險(xiǎn)。這次 Oracle 史無(wú)前例的事故告訴我們，依賴云廠商的認(rèn)證基礎(chǔ)設(shè)施 —— 連機(jī)密性也保不住了。

在國(guó)內(nèi)的數(shù)據(jù)庫(kù)圈，很多老 DBA 喜歡把 Oracle 捧上天，這其實(shí)是一件相當(dāng)滑稽的事情。引用昨天陸奇老師的一句評(píng)論：在硅谷，人們最看不起的公司是 Oracle，They are selling garbage。

世界是一個(gè)巨大的草臺(tái)班子，有些東西看著光鮮亮麗，其實(shí)底下是一灘爛泥。

來(lái)源：非法加馮