DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

Rò rỉ dữ liệu Oracle Cloud: Hơn 6 triệu bản ghi bị rao bán, Oracle lên tiếng phủ nhận

Nghi vấn lộ dữ liệu diện rộng từ hệ thống Oracle Cloud: Hơn 200 tổ chức tại Việt Nam có thể bị ảnh hưởng.

Một vụ việc nghiêm trọng đang đặt Oracle Cloud vào tâm điểm nghi ngờ sau khi xuất hiện thông tin rao bán dữ liệu quy mô lớn trên diễn đàn ngầm BreachForums. Kẻ đứng sau vụ việc sử dụng bí danh rose87168, tuyên bố đã chiếm quyền kiểm soát nhiều hệ thống thuộc hạ tầng Oracle trên môi trường điện toán đám mây.

Theo nội dung bài đăng xuất hiện trong tuần qua, đối tượng khẳng định đã khai thác thành công một điểm yếu trong hạ tầng đăng nhập của Oracle Cloud — cụ thể là các tên miền dạng login.[region].oraclecloud.com. Từ đó, tin tặc thu thập được khoảng 6 triệu bản ghi, bao gồm dữ liệu người dùng từ hệ thống xác thực một lần (SSO), thư mục LDAP, và nhiều thành phần bảo mật quan trọng như file Java KeyStore, mật khẩu mã hóa, các khoá xác thực JPS và tập tin cấu hình nhạy cảm.

Không dừng lại ở việc công bố khả năng xâm nhập, rose87168 còn liệt kê danh sách các tổ chức bị ảnh hưởng và đưa ra lời đề nghị “xóa dữ liệu nếu được trả tiền”, đồng thời không tiết lộ mức giá cụ thể. Những dữ liệu mẫu bị rò rỉ đã nhanh chóng thu hút sự chú ý của cộng đồng an ninh mạng toàn cầu.

Trong khi đó, Oracle lên tiếng bác bỏ hoàn toàn các cáo buộc, khẳng định “không có dữ liệu nào thuộc về khách hàng Oracle Cloud bị lộ”. Tuy nhiên, tuyên bố này đang vấp phải nhiều hoài nghi khi nhiều tổ chức độc lập, bao gồm CloudSEK, đã xác minh được một số chi tiết trùng khớp với dữ liệu bị phát tán. Các phân tích bước đầu cho thấy vụ việc có thể liên quan đến một lỗ hổng nghiêm trọng từng được công bố là CVE-2021-35587 — một lỗi thực thi mã từ xa với điểm nguy hiểm gần tuyệt đối (CVSS 9.8), dù đã có bản vá từ cuối năm 2021.

Hệ thống Threat Intelligence của NCS tại Việt Nam nhận định, hiện có hơn 200 tổ chức trong nước đang sử dụng Oracle Cloud và có nguy cơ bị ảnh hưởng trực tiếp từ vụ việc. Trên phạm vi toàn cầu, con số có thể lên tới hơn 140.000 tenant.

Dựa trên dòng thời gian do chính tin tặc công bố, quá trình xâm nhập ban đầu nhiều khả năng diễn ra từ giữa tháng 2/2025 — khoảng 40 ngày trước thời điểm bài đăng đầu tiên xuất hiện trên diễn đàn dark web vào ngày 21/3.

Mối đe dọa không chỉ nằm ở số lượng dữ liệu bị rò rỉ, mà còn ở cách thức tin tặc vận hành: rao bán dữ liệu cho bên thứ ba, yêu cầu thanh toán để “xóa tên” khỏi danh sách rò rỉ, và kêu gọi hacker khác hỗ trợ giải mã hash LDAP hoặc bẻ khóa mật khẩu SSO — cho thấy đây là chiến dịch tống tiền có tổ chức.

Khuyến nghị an ninh dành cho tổ chức đang sử dụng Oracle Cloud:

  • Đặt lại mật khẩu cho toàn bộ tài khoản LDAP, đặc biệt là những tài khoản có đặc quyền cao như tenant admin.
  • Thay thế toàn bộ secrets và certificates liên quan đến SSO, SAML, OIDC.
  • Rà soát nhật ký hệ thống, chú trọng vào hoạt động xác thực bất thường trong thời gian từ giữa tháng 2 đến nay.
  • Cập nhật hệ thống, đảm bảo toàn bộ bản vá bảo mật – đặc biệt là những bản vá liên quan đến CVE-2021-35587 – đã được triển khai đầy đủ.
  • Tăng cường chính sách truy cập, áp dụng nguyên tắc “ít quyền nhất”, đồng thời thiết lập hệ thống giám sát truy cập liên tục.
  • Phối hợp với Oracle để kiểm tra mức độ ảnh hưởng và thực hiện các biện pháp khắc phục phù hợp.
Article Thumbnail

Sự kiện đang hiện hành

Bài viết nổi bật

Tin tức khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận