Segundo relatório da ZenoX, o Brasil figura como o segundo país mais atingido por este incidente, com mais de 4.300 empresas brasileiras sob risco
A ZenoX, startup de cibersegurança do Grupo Dfense especializada em inteligência de ameaças contra fraudes digitais, aprofundou a investigação sobre o suposto mega vazamento de dados de 6 milhões de usuários globais, na Oracle Cloud, detectado inicialmente em 20 de março de 2025. Por meio de colaboração com o portal Tecmundo, a ZenoX obteve acesso a amostras de dados ampliadas e informações adicionais diretamente do ator da ameaça “rose87168”, permitindo uma validação mais robusta das alegações iniciais, especialmente diante da negação oficial da Oracle.
As informações expostas, incluindo nomes, e-mails e hashes de senhas, ampliam os riscos de ataques, tentativas de extorsão, e exigem mitigação imediata. A análise da ZenoX, conduzida em parceira com o TecMundo, verificou quase 15.000 e-mails únicos da amostra contra a base de dados Have I Been Pwned (HIBP). Surpreendentemente, cerca de 89% desses e-mails não possuíam registros prévios em vazamentos públicos (“First Seen”). Este resultado torna a hipótese de dados fabricados ou provenientes de compilações de vazamentos antigos extremamente improvável, indicando fortemente que os dados são de origem recente e não pública. O ator da ameaça, em resposta às notícias e especulações recentes, forneceu evidências adicionais ao TecMundo, demonstrando acesso a domínios da Oracle e validando os dados encontrados na nova amostra.
Impacto no Brasil
O Brasil figura como o segundo país mais atingido por este incidente, com mais de 4.300 domínios sob risco. “A alta concentração de empresas brasileiras utilizando os serviços da Oracle torna o impacto deste possível vazamento ainda mais crítico para o nosso país. Não se trata apenas de números, mas de setores inteiros da economia que podem ser afetados”, alerta Ana Cerqueira, CRO da ZenoX.
O vazamento potencial atinge múltiplos setores: instituições financeiras (incluindo principais bancos, fintechs e seguradoras), telecomunicações, varejo (físico e digital), siderurgia, mídia, marketplaces, alimentação (redes de restaurantes) e plataformas digitais com milhões de usuários.
“A amplitude e a sensibilidade dos setores envolvidos evidenciam a gravidade desse possível vazamento para o Brasil. O impacto pode ser especialmente crítico, uma vez que muitas dessas organizações atuam em segmentos regulados e lidam com dados altamente sensíveis. A exposição de credenciais e estruturas de diretório não apenas compromete a segurança dessas empresas, mas também representa um risco real para infraestruturas críticas e serviços essenciais do país”, comenta a executiva.
Evidências e vetor de ataque
A ZenoX, em sua análise inicial, apontou a vulnerabilidade CVE-2021-35587 no Oracle Access Manager como o provável vetor de ataque. “A presença de informações de servidores Oracle desatualizados reforça essa hipótese. Além disso, a similaridade na estrutura dos dados com o vazamento da DHL em março de 2025 levanta a suspeita de que o mesmo ator esteja por trás dos ataques”, explica Cerqueira.
Além da consistência dos dados, a confirmação de um ataque multi-etapa pelo ator da ameaça, e a presença de supostos dados LDAP da CEO da Oracle, Safra Catz, reforçam a probabilidade de um incidente genuíno. Entretanto, a Oracle nega oficialmente qualquer violação.
Outro ponto relevante da análise da ZenoX é a possibilidade de o suposto incidente ter ocorrido antes da publicação no fórum, possivelmente conectado ao vazamento de dados da DHL. A postagem original apresentava múltiplos elementos técnicos que aumentavam sua credibilidade: descrição técnica precisa, quantificação detalhada, detalhes sobre a estrutura de dados, modelo de monetização, evidências concretas e links para amostras.
Recomendações da ZenoX
Caso o vazamento seja real, as organizações devem implementar medidas imediatas de contenção para limitar os danos potenciais, ao mesmo tempo em que desenvolvem estratégias de longo prazo para fortalecer sua postura de segurança e prevenir incidentes semelhantes no futuro. A abordagem deve ser abrangente, abordando aspectos técnicos, processuais e humanos da segurança da informação.
“Independentemente da confirmação oficial por parte da Oracle, a ZenoX recomenda fortemente que todas as organizações que utilizam seus serviços de autenticação adotem medidas imediatas de segurança para mitigar os riscos potenciais”, adverte a executiva. Entre as recomendações, destacam-se:
- Adoção Urgente de Autenticação Multifator (MFA)
- Revisão e Rotação Imediata de Credenciais
- Verificação Urgente de Patches (CVE-2021-35587 e Outros)
- Implementação/Revisão de Regras de WAF
- Revisão Rigorosa de Permissões (Least Privilege)
- Análise de Risco Interna e Threat Intelligence
- Atualização de Sistemas de Detecção
- Comunicação e Conscientização de Usuários
- Revisão do Plano de Resposta a Incidentes
A íntegra do estudo realizado pela ZenoX pode ser acessada diretamente neste post aqui.
