Oracle sob ataque após resposta controversa a recente invasão
A Oracle está enfrentando uma reação crescente da comunidade de segurança cibernética após a forma como lidou com um recente incidente de hacking que expôs informações de usuários de servidores desatualizados. Embora a gigante da tecnologia já tenha começado a emitir notificações por escrito aos clientes afetados, os críticos argumentam que a resposta demorada e confusa da empresa só piorou a situação.
Table of Contents
Da Negação ao Controle de Danos
A controvérsia começou em 20 de março de 2025, quando um hacker apareceu em um conhecido fórum de crimes cibernéticos, alegando ter invadido servidores Oracle Cloud. O invasor ofereceu milhões de registros para venda, supostamente vinculados a mais de 140.000 locatários da Oracle, incluindo credenciais de login criptografadas ou com hash.
A Oracle reagiu rapidamente, negando veementemente que os sistemas Oracle Cloud tivessem sido comprometidos. No entanto, à medida que o hacker começou a vazar amostras dos dados roubados — posteriormente considerados provavelmente autênticos por pesquisadores de segurança cibernética —, clientes da Oracle começaram a se manifestar para confirmar que seus dados faziam parte da violação. Isso contradiz as declarações originais da Oracle e levantou sérias questões sobre a transparência de sua comunicação.
Após essas revelações, a Oracle passou de negações públicas a divulgações privadas. A empresa teria contatado clientes verbalmente para admitir que, embora alguns sistemas tenham sido acessados, a violação não envolveu a Oracle Cloud Infrastructure (OCI). Somente em 7 de abril — mais de duas semanas após a divulgação da violação — a Oracle começou a emitir notificações formais por escrito.
Dados vazados vinculados a servidores legados
Em suas comunicações por escrito, a Oracle insistiu que "nenhum ambiente de cliente da OCI foi invadido" e alegou que nenhum dado ou serviço do cliente foi comprometido. Em vez disso, a empresa revelou que o invasor acessou nomes de usuário de dois servidores antigos que não estão mais em uso e não fazem parte da OCI.
Segundo a Oracle, as senhas associadas a esses nomes de usuário estavam criptografadas ou com hash, tornando-as inutilizáveis. O hacker teria confirmado que não conseguiu decifrar as credenciais criptografadas.
Apesar dessas garantias, especialistas em segurança cibernética permanecem céticos. O analista de segurança Max Solonski criticou a minimização da situação pela Oracle, apontando que os próprios nomes de usuário podem ser considerados dados do cliente e ainda podem representar um risco. Ele também observou que senhas criptografadas, embora mais seguras, ainda podem ser quebradas com o tempo, com esforço suficiente.
O pesquisador de segurança Kevin Beaumont reforçou as críticas, classificando a notificação oficial da Oracle como "uma resposta excepcionalmente ruim para uma empresa que gerencia dados extremamente sensíveis". Ele suspeita que os sistemas violados faziam parte da infraestrutura legada da Oracle, conhecida como servidores Oracle Classic ou Gen1, o que pode ter permitido à empresa negar tecnicamente uma violação do OCI e, ao mesmo tempo, sofrer um comprometimento.
Perguntas persistentes e crescente escrutínio
Embora a Oracle afirme que os dados roubados eram antigos, alguns relatórios sugerem que as informações podem ser tão recentes quanto 2024 ou mesmo 2025, o que corrobora as alegações do hacker. Essa discrepância alimenta ainda mais as dúvidas sobre a integralidade das divulgações da Oracle e a verdadeira extensão da violação.
Também há perguntas sem resposta sobre como a violação ocorreu. Investigações iniciais sugerem a exploração de uma vulnerabilidade desatualizada, levantando preocupações sobre o gerenciamento de patches da Oracle e a segurança de seus sistemas legados.
Enquanto clientes e especialistas do setor aguardam mais detalhes, a resposta da Oracle continua a gerar duras críticas. O incidente destaca a importância da comunicação transparente e em tempo hábil durante crises de segurança cibernética — especialmente para empresas às quais são confiados grandes volumes de dados sensíveis.
