Em março de 2025, a comunidade de segurança digital foi surpreendida por um dos maiores vazamentos de dados do ano: um ataque de supply chain à Oracle comprometeu aproximadamente 6 milhões de registros, afetando mais de 140 mil locatários (tenants) de sua infraestrutura em nuvem. Segundo a empresa de cibersegurança CloudSEK, os dados foram exfiltrados por meio de uma vulnerabilidade crítica no sistema de autenticação única (SSO – Single Sign-On) da Oracle Cloud, explorada por um grupo identificado como Rose 87168.
Entenda o ataque
A brecha de segurança explorada está registrada sob o CVE-2021-35587 — uma vulnerabilidade crítica com severidade 9.8/10 — que já havia sido corrigida em um patch de janeiro de 2022. No entanto, o que torna este ataque particularmente alarmante é que o nodo de produção da própria Oracle Cloud aparentemente não havia sido atualizado, deixando o sistema vulnerável.
O ataque consistiu na exploração de uma função administrativa da interface do SSO da Oracle que não exigia autenticação. Em outras palavras, bastava que o invasor tivesse a URL completa do recurso para conseguir acesso direto à interface administrativa, permitindo manipular permissões e acessar dados confidenciais.
O que é um ataque de supply chain?
Um ataque de supply chain (ou cadeia de suprimentos) acontece quando o invasor compromete elementos do processo de desenvolvimento ou distribuição de software. No caso da Oracle, suspeita-se que o agente de ameaça tenha conseguido acesso ao código-fonte ou ao ambiente de desenvolvimento da empresa, inserindo a vulnerabilidade de forma maliciosa. Ainda não se sabe se isso ocorreu com a colaboração de um infiltrado na equipe de engenharia da Oracle ou se foi um acesso externo não autorizado ao repositório de código-fonte.
Dados comprometidos e consequências
O grupo Rose 87168 anunciou a venda dos dados em fóruns da dark web no dia 21 de março de 2025. Os dados afetados incluem registros de autenticação, informações pessoais e possivelmente credenciais de acesso a sistemas empresariais de organizações globais. Entre os nomes mencionados como potenciais vítimas estão gigantes como Tesla, Adidas, Mastercard, Visa, Banco Chase e Nike.
O mais alarmante é que o grupo ofereceu a opção de “retirada de dados” de empresas específicas mediante pagamento, em uma forma de chantagem digital. Especialistas alertam que esse tipo de proposta raramente é confiável, mas algumas companhias preferem pagar na esperança de mitigar o impacto de futuras exposições.
Reação da Oracle
Até o momento, a Oracle ainda não emitiu um posicionamento oficial detalhado sobre o ataque, mas fontes do setor indicam que investigações internas estão em andamento, e medidas de contenção já foram adotadas. A empresa é reconhecida por sua abordagem rígida em relação à segurança, o que torna o caso ainda mais inesperado e danoso para sua reputação.
Recomendações de segurança
A CloudSEK recomenda as seguintes ações imediatas para empresas que utilizam serviços da Oracle Cloud:
- Troca de senhas: especialmente de contas administrativas e de diretórios LDAP.
- Atualização de sistemas: aplicar imediatamente o patch de segurança lançado em janeiro de 2022 (CVE-2021-35587).
- Revisão de logs e auditoria interna: identificar possíveis acessos indevidos.
- Implementação de autenticação multifator (MFA): fortalecer a segurança de login.
- Geração de novos certificados e segredos: prevenir reutilização de credenciais comprometidas.
O alerta sobre hotspots e falhas comuns de desenvolvimento
Esse incidente também chama atenção para um erro comum no desenvolvimento de aplicações web: o acesso não autenticado a funções críticas por meio de URLs diretas, conhecidas como “hotspots”. Mesmo que a interface do sistema limite a exibição de certas funcionalidades a usuários autorizados, falhar em verificar permissões diretamente nas rotas (endpoints) é um erro de segurança recorrente.
Embora neste caso específico a falha tenha sido resultado de um ataque de supply chain — e não de negligência direta de desenvolvedores da Oracle — o exemplo serve como alerta para boas práticas de segurança no ciclo de vida do software.
Impacto e lições para o mercado
O ataque à Oracle reforça a urgência de práticas de segurança robustas, especialmente em ambientes de nuvem e infraestruturas críticas. Empresas precisam tratar a segurança de seus ambientes de desenvolvimento com o mesmo rigor aplicado à produção.
A falha de um dos maiores nomes da indústria demonstra que nenhuma organização está imune e que o investimento em segurança precisa ir além das proteções tradicionais. Cadeias de suprimentos complexas exigem visibilidade, controle e auditoria contínua.
Conclusão
O vazamento de dados da Oracle em março de 2025 é, até o momento, o maior ataque de supply chain do ano. Com milhões de registros à venda na dark web e grandes empresas potencialmente comprometidas, o incidente serve como um alerta para o mercado de tecnologia, desenvolvedores e profissionais de segurança da informação.
Empresas que ainda não aplicaram os patches de segurança recomendados devem fazê-lo imediatamente. Além disso, a revisão de políticas de autenticação, criptografia e auditoria se torna uma prioridade para mitigar riscos futuros.
Fontes oficiais:
Se você trabalha com infraestrutura em nuvem, segurança da informação ou desenvolvimento de sistemas, compartilhe este conteúdo com sua equipe, siga nosso blog para mais atualizações e deixe sua opinião nos comentários. Vamos juntos promover um ecossistema mais seguro e resiliente contra ataques como este.
