北京
2025年的最大供應(yīng)鏈黑客攻擊:媒體曝光600萬(wàn)條記錄從 Oracle Cloud 泄露。Oracle 對(duì)此矢口否認(rèn),但已經(jīng)有客戶驗(yàn)證了公開(kāi)樣本的真實(shí)性。
黑客 Rose87168在 BreachForm 上叫賣(mài)這份數(shù)據(jù)。包括600萬(wàn)用戶的身份認(rèn)證數(shù)據(jù)與加密密碼,涉及到14萬(wàn)個(gè)域名。并且還在服務(wù)器上留下到此一游的文本文件。
距離數(shù)據(jù)發(fā)布在暗網(wǎng)論壇上已經(jīng)過(guò)去一周了,根據(jù)歐盟 GDPR 的規(guī)定,數(shù)據(jù)泄漏的72小時(shí)如果沒(méi)有及時(shí)披露與通知,可能面臨年?duì)I收百分比的巨額罰款。
GPT 估算 Oracle 企業(yè)客戶數(shù)量在數(shù)萬(wàn)量級(jí),這讓人懷疑這次是不是所有客戶的身份認(rèn)證數(shù)據(jù)庫(kù)都被一鍋端了。如果是,那又是云計(jì)算歷史上的史無(wú)前例的驚天故障,考慮到他們還有很多政企客戶,這下樂(lè)子大了。
據(jù) CloudSEK 驗(yàn)證,login.us2.oraclecloud.com 是生產(chǎn) SSO 服務(wù)器,還在跑 Oracle Fusion Middleware 11g —— 16年前發(fā)布的軟件版本,現(xiàn)在早就 EOL 了,而且有一個(gè)重大安全漏洞 CVE-2021-35587。(不是哥們這是你自家的軟件啊,你自己還在跑過(guò)時(shí)漏洞版本也不給自己打補(bǔ)丁的嗎?)
我的朋友瑞典馬工一直主張深度上云,擁抱云廠商的身份認(rèn)證基礎(chǔ)設(shè)施 IAM / RAM。我相信這次事故會(huì)給他好好再上一課 —— 云廠商提供的認(rèn)證基礎(chǔ)設(shè)施并非是什么無(wú)條件可靠的信任根,它一樣會(huì)掛會(huì)泄漏。
上次阿里云 IAM/OSS 循環(huán)依賴導(dǎo)致的全球大故障已經(jīng)體現(xiàn)了依賴云上的認(rèn)證體系存在額外的可用性安全風(fēng)險(xiǎn)。這次 Oracle 史無(wú)前例的事故告訴我們,依賴云廠商的認(rèn)證基礎(chǔ)設(shè)施 —— 連機(jī)密性也保不住了。
在國(guó)內(nèi)的數(shù)據(jù)庫(kù)圈,很多老 DBA 喜歡把 Oracle 捧上天,這其實(shí)是一件相當(dāng)滑稽的事情。引用昨天陸奇老師的一句評(píng)論:在硅谷,人們最看不起的公司是 Oracle,They are selling garbage。
世界是一個(gè)巨大的草臺(tái)班子,有些東西看著光鮮亮麗,其實(shí)底下是一灘爛泥。
來(lái)源:非法加馮
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
