Um ataque de supply chain na Oracle expôs 6 milhões de registros, afetando empresas globais. Saiba os detalhes e como se proteger desse ataque hacker.
Descoberta do maior ataque de Supply Chain de 2025
Em 21 de março de 2025, o mundo da tecnologia foi abalado por uma notícia alarmante: um ataque de supply chain comprometeu a Oracle Cloud, resultando no vazamento de 6 milhões de registros sensíveis. Esse incidente, considerado o maior ataque desse tipo no ano, expôs dados de diversas empresas que utilizam o Single Sign-On (SSO) da plataforma em nuvem da Oracle, uma das líderes mundiais em soluções tecnológicas. A gravidade da situação foi amplificada pela venda dessas informações na dark web, gerando uma onda de preocupação entre organizações e especialistas em segurança cibernética.
O responsável pelo ataque, identificado como “Rose87168”, anunciou a comercialização dos dados roubados, que incluem credenciais criptografadas, arquivos JKS, chaves JPS e informações de sistemas LDAP. Além disso, o invasor ofereceu às empresas afetadas a possibilidade de pagar para remover seus registros do lote à venda, uma tática de extorsão que adiciona ainda mais complexidade ao caso. A Oracle, conhecida por sua robustez em segurança da informação, agora enfrenta um desafio significativo para restaurar a confiança de seus clientes.
Como o ataque Hacker foi executado
O ataque hacker explorou uma vulnerabilidade crítica no SSO da Oracle, identificada como CVE-2021-5587, com uma pontuação de criticidade de 9.8 em uma escala de 10. Essa falha permitia o acesso a funções administrativas sem autenticação, um erro grave que comprometia diretamente os nós de produção da Oracle Cloud. Em termos técnicos, bastava que o atacante utilizasse uma URL específica — um “hotspot” — para obter privilégios administrativos e manipular o sistema, incluindo a criação de usuários com acesso irrestrito.
Esse tipo de falha não foi um simples descuido de programação, mas sim o resultado de um ataque de supply chain sofisticado. Diferentemente de erros comuns, nos quais desenvolvedores esquecem de validar permissões em URLs, aqui a vulnerabilidade foi introduzida intencionalmente. Especialistas acreditam que o atacante pode ter comprometido o ambiente de desenvolvimento da Oracle, seja por meio de acesso ao repositório de código-fonte ou pela manipulação de um insider na equipe de desenvolvimento. Assim, o código adulterado foi implantado em produção, abrindo uma brecha que permaneceu ativa até ser explorada em larga escala.
A falha CVE-2021-5587 e suas implicações
A vulnerabilidade CVE-2021-5587, corrigida em um patch lançado pela Oracle em janeiro de 2022, deveria ter sido eliminada de todos os sistemas atualizados. Contudo, o que torna esse caso particularmente preocupante é que a própria infraestrutura da Oracle Cloud não estava devidamente protegida contra essa falha. Isso sugere uma falha na gestão de atualizações dentro do ambiente da empresa, expondo um ponto fraco inesperado em uma organização reconhecida por seus padrões de segurança elevados.
Quando explorada, a brecha permitia que atacantes acessassem servidores críticos sem barreiras de autenticação. Com isso, informações sensíveis de milhões de usuários e empresas foram extraídas, incluindo dados de autenticação que, se descriptografados, poderiam levar a invasões ainda mais profundas. A criticidade de 9.8 reflete a facilidade de exploração e o potencial de dano, colocando em xeque a segurança de sistemas interconectados que dependem da Oracle Cloud.
Empresas afetadas e escala do vazamento
O impacto do vazamento é global e abrange companhias de diversos setores. Entre as organizações potencialmente afetadas estão gigantes como Tesla, Banco Chase, Adidas, Nike, Mastercard e Visa, conforme amostras divulgadas pelo atacante na dark web. Esses exemplos foram validados como autênticos por investigadores, confirmando a veracidade do incidente. Estima-se que mais de 140 mil tenants (inquilinos) da Oracle Cloud tenham sido comprometidos, totalizando os 6 milhões de registros expostos.
No Brasil, o ataque também reverberou fortemente, com milhares de domínios “.br” listados entre os afetados. Setores como finanças, telecomunicações, varejo e tecnologia estão entre os mais atingidos, destacando a dependência significativa de soluções Oracle no mercado nacional. A exposição de dados sensíveis, como credenciais de acesso e estruturas de diretórios, pode abrir portas para ataques secundários, ampliando os riscos para infraestruras críticas.
O que é um ataque de Supply Chain?
Um ataque de supply chain ocorre quando um invasor compromete a cadeia de suprimentos de uma organização, geralmente manipulando softwares ou serviços de terceiros para atingir sistemas maiores. No caso da Oracle, a vulnerabilidade foi inserida no processo de desenvolvimento, permitindo que o código malicioso chegasse ao ambiente de produção sem ser detectado. Esse método é particularmente perigoso porque explora a confiança que as empresas depositam em seus fornecedores, como a Oracle.
Ataques desse tipo estão se tornando cada vez mais comuns na era digital. Diferentemente de invasões diretas, que exigem a quebra de defesas específicas, o supply chain atinge um ponto vulnerável na origem, afetando múltiplas vítimas simultaneamente. O caso da Oracle exemplifica como até mesmo empresas de ponta podem ser alvos, reforçando a necessidade de segurança robusta em todas as etapas do desenvolvimento e implantação de tecnologia.
Medidas de mitigação para empresas
Para as organizações que utilizam a Oracle Cloud, ações imediatas são essenciais para minimizar os danos. Veja as principais recomendações:
- Reset de Credenciais: Todas as senhas de sistemas SSO e LDAP devem ser alteradas imediatamente, especialmente as de contas administrativas.
- Atualização de Sistemas: Aplicar o patch de janeiro de 2022 que corrige o CVE-2021-5587 é crucial para quem ainda não o fez.
- Autenticação Multifator (MFA): Reforçar as políticas de segurança com MFA em todos os acessos sensíveis.
- Auditoria de Rede: Realizar uma análise detalhada para identificar sinais de invasão ou uso indevido de credenciais comprometidas.
- Geração de Novos Certificados: Substituir chaves e segredos potencialmente expostos para evitar acessos não autorizados.
Essas medidas, embora simples, podem ser a diferença entre conter o problema e enfrentar uma crise ainda maior. Além disso, empresas devem monitorar a dark web para verificar se seus dados estão sendo negociados e, se necessário, buscar assistência especializada em resposta a incidentes.
Resposta da Oracle e investigação em curso
Até o momento, a Oracle não confirmou oficialmente o vazamento, mas fontes indicam que a empresa está investigando o caso em colaboração com autoridades. A polícia cibernética já foi acionada para rastrear o agente “Rose87168”, que permanece ativo desde janeiro de 2025, conforme registros de atividades anteriores, como o vazamento de dados da DHL. A falta de um pronunciamento definitivo da Oracle tem gerado especulações, mas a autenticidade dos dados à venda foi amplamente verificada por terceiros.
A investigação também busca determinar como o atacante conseguiu adulterar o código-fonte ou o ambiente de desenvolvimento da Oracle. Seja por um insider ou por uma brecha externa, o incidente expõe a fragilidade de processos que, teoricamente, deveriam ser impenetráveis. Enquanto isso, a empresa enfrenta pressão para esclarecer o ocorrido e oferecer suporte às vítimas.
Lições para segurança cibernética
O ataque à Oracle reforça uma verdade inconveniente: nenhuma organização está imune a falhas de segurança, independentemente de sua reputação. A dependência de plataformas em nuvem, como a Oracle Cloud, exige que as empresas adotem uma postura proativa, indo além de confiar exclusivamente nos fornecedores. Ambientes de desenvolvimento seguros são tão importantes quanto os sistemas em produção, e a falta de controles rigorosos pode abrir portas para ataques devastadores como este.
Além disso, o caso destaca a crescente sofisticação dos ataques de supply chain. Com o aumento da interconectividade entre sistemas e a digitalização acelerada, os invasores encontram mais oportunidades para explorar pontos fracos na cadeia de suprimentos. Para os gestores de TI, fica o alerta: investir em segurança desde a concepção até a implementação é essencial para proteger dados e manter a continuidade dos negócios.
O mega vazamento na Oracle marca um divisor de águas em 2025, expondo os riscos de ataques de supply chain em um mundo cada vez mais conectado. Para as empresas afetadas, o foco agora é mitigar os danos e fortalecer suas defesas, enquanto a comunidade global de segurança cibernética acompanha os desdobramentos. Este incidente serve como um lembrete de que a proteção de dados exige vigilância constante e colaboração entre fornecedores e clientes. Abaixo, confira uma fonte confiável para mais detalhes sobre o caso: https://safesrc.com.
Profissões em Alta no Brasil
Quer saber mais sobre o mercado de trabalho em 2025? Veja nosso artigo sobre profissões do futuro no Brasil e prepare-se para o futuro!
ataque de supply chain, oracle, ataque hacker, vazamento de dados, oracle cloud, 6 milhões de registros, sso, cve-2021-5587, dark web, segurança cibernética, credenciais, rose87168, hotspot, autenticação, empresas afetadas, mitigação, atualização, mfa, investigação, código-fonte
