美國(guó)德克薩斯州近日成為一場(chǎng)法律風(fēng)暴的中心，針對(duì)甲骨文公司（Oracle Corporation）的大規(guī)模云數(shù)據(jù)泄露事件，當(dāng)?shù)胤ㄔ阂咽芾砑w訴訟。這起于2025年3月31日向德克薩斯西區(qū)聯(lián)邦地區(qū)法院提交的訴狀指控甲骨文未能保護(hù)敏感信息，且未及時(shí)通知受影響用戶。

數(shù)據(jù)泄露事件始末

此次泄露事件最早由Hackread.com在2025年3月22日?qǐng)?bào)道。一位化名"rose87168"的黑客在Breach Forums論壇聲稱，其早在2025年1月就入侵了甲骨文的云基礎(chǔ)設(shè)施。據(jù)該黑客透露，泄露數(shù)據(jù)包括加密的單點(diǎn)登錄（SSO）密碼、Java密鑰庫(kù)（JKS）文件、企業(yè)管理器JPS密鑰，以及與甲骨文云SSO和LDAP系統(tǒng)關(guān)聯(lián)的用戶憑證。據(jù)稱被盜數(shù)據(jù)集涉及約600萬(wàn)用戶信息。

黑客發(fā)布的入侵證據(jù)（來(lái)源：Hackread.com）

甲骨文公司公開(kāi)否認(rèn)存在數(shù)據(jù)泄露，拒絕進(jìn)一步置評(píng)。但網(wǎng)絡(luò)安全公司CloudSEK經(jīng)獨(dú)立調(diào)查后表示，已發(fā)現(xiàn)數(shù)據(jù)泄露的"確鑿證據(jù)"。2025年3月31日，涉事黑客在Breach Forums論壇公布了更多證據(jù)，包括甲骨文云環(huán)境的內(nèi)部LDAP記錄和部分憑證。論壇管理員已核實(shí)數(shù)據(jù)真實(shí)性，不過(guò)Hackread.com表示在甲骨文公司全面公開(kāi)信息前，無(wú)法完全獨(dú)立確認(rèn)泄露事件。

集體訴訟核心指控

這起集體訴訟由佛羅里達(dá)州居民邁克爾·托伊卡赫（Michael Toikach）作為原告代表，于2025年3月31日正式提起。訴狀指出，托伊卡赫的私人信息通過(guò)某家使用甲骨文軟件的醫(yī)療機(jī)構(gòu)存儲(chǔ)在甲骨文系統(tǒng)中。原告方指控甲骨文未能達(dá)到行業(yè)標(biāo)準(zhǔn)的安全實(shí)踐，存在過(guò)失、違反信托責(zé)任、不當(dāng)?shù)美约斑`反第三方受益人合同等行為。

訴狀特別強(qiáng)調(diào)，甲骨文未遵守德克薩斯州法律規(guī)定——企業(yè)必須在確認(rèn)數(shù)據(jù)泄露后60天內(nèi)通知受影響個(gè)人。截至訴訟提交日，甲骨文尚未發(fā)出任何通知。更嚴(yán)重的是，泄露數(shù)據(jù)不僅包含個(gè)人身份信息（PII），還涉及敏感醫(yī)療數(shù)據(jù)。訴狀援引彭博社和HIPAA Journal的報(bào)道稱，甲骨文已開(kāi)始低調(diào)通知部分醫(yī)療客戶關(guān)于患者數(shù)據(jù)泄露的情況。

法庭文件截圖（來(lái)源：Hackread.com）

安全防護(hù)系統(tǒng)性失效

訴狀詳細(xì)列舉了甲骨文的多項(xiàng)失職行為，包括：缺乏適當(dāng)加密措施、網(wǎng)絡(luò)監(jiān)控不力、未能及時(shí)檢測(cè)和響應(yīng)入侵事件等。訴狀還援引甲骨文自身的公開(kāi)隱私政策，其中承諾會(huì)"毫不拖延地報(bào)告任何數(shù)據(jù)泄露事件"，而原告方指控該公司并未履行這一承諾。

黑客在論壇發(fā)帖威脅將公布全部受影響企業(yè)名單，并聲稱付費(fèi)即可將其員工記錄從泄露數(shù)據(jù)中刪除。這起集體訴訟要求甲骨文支付賠償金、提供信用監(jiān)控服務(wù)，并改革其數(shù)據(jù)安全基礎(chǔ)設(shè)施，可能成為該公司近年來(lái)面臨的最重大法律挑戰(zhàn)之一。此案也將重新引發(fā)關(guān)于云服務(wù)提供商責(zé)任邊界及其處理客戶與終端用戶敏感數(shù)據(jù)方式的討論。

目前甲骨文尚未向法院提交答辯狀。