美國德克薩斯州近日成為一場法律風(fēng)暴的中心，針對甲骨文公司（Oracle Corporation）的大規(guī)模云數(shù)據(jù)泄露事件，當(dāng)?shù)胤ㄔ阂咽芾砑w訴訟。這起于2025年3月31日向德克薩斯西區(qū)聯(lián)邦地區(qū)法院提交的訴狀指控甲骨文未能保護敏感信息，且未及時通知受影響用戶。

數(shù)據(jù)泄露事件始末

此次泄露事件最早由Hackread.com在2025年3月22日報道。一位化名"rose87168"的黑客在Breach Forums論壇聲稱，其早在2025年1月就入侵了甲骨文的云基礎(chǔ)設(shè)施。據(jù)該黑客透露，泄露數(shù)據(jù)包括加密的單點登錄（SSO）密碼、Java密鑰庫（JKS）文件、企業(yè)管理器JPS密鑰，以及與甲骨文云SSO和LDAP系統(tǒng)關(guān)聯(lián)的用戶憑證。據(jù)稱被盜數(shù)據(jù)集涉及約600萬用戶信息。

黑客發(fā)布的入侵證據(jù)（來源：Hackread.com）

甲骨文公司公開否認(rèn)存在數(shù)據(jù)泄露，拒絕進一步置評。但網(wǎng)絡(luò)安全公司CloudSEK經(jīng)獨立調(diào)查后表示，已發(fā)現(xiàn)數(shù)據(jù)泄露的"確鑿證據(jù)"。2025年3月31日，涉事黑客在Breach Forums論壇公布了更多證據(jù)，包括甲骨文云環(huán)境的內(nèi)部LDAP記錄和部分憑證。論壇管理員已核實數(shù)據(jù)真實性，不過Hackread.com表示在甲骨文公司全面公開信息前，無法完全獨立確認(rèn)泄露事件。

集體訴訟核心指控

這起集體訴訟由佛羅里達州居民邁克爾·托伊卡赫（Michael Toikach）作為原告代表，于2025年3月31日正式提起。訴狀指出，托伊卡赫的私人信息通過某家使用甲骨文軟件的醫(yī)療機構(gòu)存儲在甲骨文系統(tǒng)中。原告方指控甲骨文未能達到行業(yè)標(biāo)準(zhǔn)的安全實踐，存在過失、違反信托責(zé)任、不當(dāng)?shù)美约斑`反第三方受益人合同等行為。

訴狀特別強調(diào)，甲骨文未遵守德克薩斯州法律規(guī)定——企業(yè)必須在確認(rèn)數(shù)據(jù)泄露后60天內(nèi)通知受影響個人。截至訴訟提交日，甲骨文尚未發(fā)出任何通知。更嚴(yán)重的是，泄露數(shù)據(jù)不僅包含個人身份信息（PII），還涉及敏感醫(yī)療數(shù)據(jù)。訴狀援引彭博社和HIPAA Journal的報道稱，甲骨文已開始低調(diào)通知部分醫(yī)療客戶關(guān)于患者數(shù)據(jù)泄露的情況。

法庭文件截圖（來源：Hackread.com）

安全防護系統(tǒng)性失效

訴狀詳細(xì)列舉了甲骨文的多項失職行為，包括：缺乏適當(dāng)加密措施、網(wǎng)絡(luò)監(jiān)控不力、未能及時檢測和響應(yīng)入侵事件等。訴狀還援引甲骨文自身的公開隱私政策，其中承諾會"毫不拖延地報告任何數(shù)據(jù)泄露事件"，而原告方指控該公司并未履行這一承諾。

黑客在論壇發(fā)帖威脅將公布全部受影響企業(yè)名單，并聲稱付費即可將其員工記錄從泄露數(shù)據(jù)中刪除。這起集體訴訟要求甲骨文支付賠償金、提供信用監(jiān)控服務(wù)，并改革其數(shù)據(jù)安全基礎(chǔ)設(shè)施，可能成為該公司近年來面臨的最重大法律挑戰(zhàn)之一。此案也將重新引發(fā)關(guān)于云服務(wù)提供商責(zé)任邊界及其處理客戶與終端用戶敏感數(shù)據(jù)方式的討論。

目前甲骨文尚未向法院提交答辯狀。