Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft
Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil após atacantes explorarem falha crítica de RCE no PeopleSoft. Grupo ShinyHunters é atribuído à campanha que já atingiu mais de 100 organizações.
A Nissan confirmou vazamento de dados sensíveis de funcionários atuais e ex-empregados nos Estados Unidos, Canadá, México e Brasil após atacantes explorarem o zero-day CVE-2026-35273 no Oracle PeopleSoft — uma falha crítica de execução remota de código atribuída ao grupo de extorsão ShinyHunters, que já reivindicou vítimas em mais de 100 organizações, majoritariamente universidades.
O que aconteceu
Segundo notificação de incidente publicada pela montadora em 26 de junho, a Oracle avisou a Nissan de um “evento cibernético” que afetou centenas de empresas usuárias do PeopleSoft — e a Nissan foi alvo específico dentro dessa onda. A janela de exploração ocorreu entre 27 de maio e 9 de junho de 2026, período em que os atacantes tiveram acesso ao ambiente antes de a Oracle publicar um comunicado out-of-band com mitigação para a falha.
Os dados expostos incluem números de identificação nacional (Social Security nos EUA, equivalentes em outros países), informações bancárias, dados fiscais, registros financeiros e informações de dependentes e beneficiários. A empresa restringiu o acesso à folha de pagamento — agora exigindo VPN corporativa para consulta de holerite ou alteração de dados de depósito — e adicionou checagens extras de identidade antes de processar solicitações relacionadas a pagamentos.
Detalhes da vulnerabilidade
A CVE-2026-35273 é uma falha crítica de remote code execution na camada do Oracle PeopleSoft — a suíte que a Nissan usa para folha de pagamento e recursos humanos. A Oracle a classificou como zero-day, ou seja, foi descoberta em uso ativo antes de qualquer patch estar disponível. O comunicado emergencial da Oracle chegou apenas depois de a campanha estar em curso, o que expôs uma janela silenciosa em que qualquer instância PeopleSoft exposta à internet poderia ser comprometida sem que os defensores tivessem indicador de compromisso publicado.
A operação foi atribuída ao ShinyHunters, coletivo conhecido por invasões de larga escala com viés extorsivo — inclui breach histórico do Ticketmaster, AT&T e do ecossistema Salesforce durante 2024 e 2025. O grupo costuma monetizar vazamentos em fóruns russos e via extorsão direta às vítimas.
“É um evento de vítimas em massa em centenas de organizações não relacionadas. Aplicar o patch da falha não faz absolutamente nada pelos dados que já foram exfiltrados durante a janela de exploração.”
Simon Pamplin, CTO da Certes
Quem está no radar
- Universidades concentram a maior parte das vítimas conhecidas, provavelmente por operarem instâncias PeopleSoft com maior superfície pública (portais de alunos, sistemas acadêmicos).
- Grandes empregadores como a Nissan que padronizaram HR e folha no PeopleSoft — perfil comum em multinacionais de manufatura, varejo e utilities.
- Governos estaduais e locais nos EUA, historicamente dependentes de PeopleSoft para gestão de servidores públicos.
- Funcionários brasileiros da Nissan estão explicitamente incluídos no escopo do vazamento, o que aciona obrigações de comunicação previstas na LGPD (Art. 48).
Análise
O incidente marca a segunda grande campanha de exploração en masse de um zero-day de plataforma corporativa neste primeiro semestre, e reforça um padrão que a Plugged Ninja vem monitorando: adversários priorizam falhas em software de RH e ERP porque o ROI de dados é altíssimo — Social Security numbers, contas bancárias e dependentes valem muito no mercado de fraude, e uma única exploração devolve dezenas de milhares de registros de qualidade. É a mesma lógica que vimos em campanhas contra MOVEit em 2023 e contra Cleo em 2024.
O tempo entre exploração e comunicado formal da Oracle merece atenção: sob a perspectiva do defensor, houve pelo menos duas semanas em que instâncias PeopleSoft expostas rodavam sem qualquer mitigação disponível. Empresas que expõem consoles de administração desses ERPs à internet — prática ainda comum em ambientes legados — continuam vulneráveis a repetições da mesma dinâmica. E, como lembra Pamplin, aplicar o patch não recupera os dados já vazados; a resposta correta envolve data-centric security: criptografia em nível de registro, tokenização de PII e monitoramento contínuo de egress.
Recomendações práticas
- Aplique imediatamente o boletim out-of-band da Oracle referente à CVE-2026-35273 em todas as instâncias PeopleSoft — inclusive homologação, treinamento e ambientes de dev com dados reais.
- Retire consoles administrativos do PeopleSoft da internet pública. Coloque atrás de VPN, ZTNA ou reverse proxy com autenticação forte.
- Rode busca retrospectiva por IOCs do ShinyHunters (hashes, C2 recentes divulgados pela Oracle e por parceiros como Google Threat Intelligence) nos últimos 60 dias de logs — a janela de exploração pode ter sido maior do que a Oracle admite.
- Auditar contas administrativas do PeopleSoft: rotacione credenciais, revise sessões ativas, force reautenticação MFA.
- Empresas com colaboradores no Brasil devem comunicar a ANPD e os titulares dentro do prazo razoável, sob risco de sanções previstas na LGPD.
- Ofereça monitoramento de crédito e dark web para os funcionários impactados — é o padrão de mercado e mitiga litígio individual.
- Adote política de rotação anual (ou mais rápida) de credenciais bancárias e de acesso interno para funcionários cujos dados foram expostos.
Fonte: Infosecurity Magazine



