美国德克萨斯州近日成为一场法律风暴的中心,针对甲骨文公司(Oracle Corporation)的大规模云数据泄露事件,当地法院已受理集体诉讼。这起于2025年3月31日向德克萨斯西区联邦地区法院提交的诉状指控甲骨文未能保护敏感信息,且未及时通知受影响用户。
此次泄露事件最早由Hackread.com在2025年3月22日报道。一位化名"rose87168"的黑客在Breach Forums论坛声称,其早在2025年1月就入侵了甲骨文的云基础设施。据该黑客透露,泄露数据包括加密的单点登录(SSO)密码、Java密钥库(JKS)文件、企业管理器JPS密钥,以及与甲骨文云SSO和LDAP系统关联的用户凭证。据称被盗数据集涉及约600万用户信息。
黑客发布的入侵证据(来源:Hackread.com)
甲骨文公司公开否认存在数据泄露,拒绝进一步置评。但网络安全公司CloudSEK经独立调查后表示,已发现数据泄露的"确凿证据"。2025年3月31日,涉事黑客在Breach Forums论坛公布了更多证据,包括甲骨文云环境的内部LDAP记录和部分凭证。论坛管理员已核实数据真实性,不过Hackread.com表示在甲骨文公司全面公开信息前,无法完全独立确认泄露事件。
这起集体诉讼由佛罗里达州居民迈克尔·托伊卡赫(Michael Toikach)作为原告代表,于2025年3月31日正式提起。诉状指出,托伊卡赫的私人信息通过某家使用甲骨文软件的医疗机构存储在甲骨文系统中。原告方指控甲骨文未能达到行业标准的安全实践,存在过失、违反信托责任、不当得利以及违反第三方受益人合同等行为。
诉状特别强调,甲骨文未遵守德克萨斯州法律规定——企业必须在确认数据泄露后60天内通知受影响个人。截至诉讼提交日,甲骨文尚未发出任何通知。更严重的是,泄露数据不仅包含个人身份信息(PII),还涉及敏感医疗数据。诉状援引彭博社和HIPAA Journal的报道称,甲骨文已开始低调通知部分医疗客户关于患者数据泄露的情况。
法庭文件截图(来源:Hackread.com)
诉状详细列举了甲骨文的多项失职行为,包括:缺乏适当加密措施、网络监控不力、未能及时检测和响应入侵事件等。诉状还援引甲骨文自身的公开隐私政策,其中承诺会"毫不拖延地报告任何数据泄露事件",而原告方指控该公司并未履行这一承诺。
黑客在论坛发帖威胁将公布全部受影响企业名单,并声称付费即可将其员工记录从泄露数据中删除。这起集体诉讼要求甲骨文支付赔偿金、提供信用监控服务,并改革其数据安全基础设施,可能成为该公司近年来面临的最重大法律挑战之一。此案也将重新引发关于云服务提供商责任边界及其处理客户与终端用户敏感数据方式的讨论。
目前甲骨文尚未向法院提交答辩状。
