A Nissan confirmou vazamento de dados sensíveis de funcionários atuais e ex-empregados nos Estados Unidos, Canadá, México e Brasil após atacantes explorarem o zero-day CVE-2026-35273 no Oracle PeopleSoft — uma falha crítica de execução remota de código atribuída ao grupo de extorsão ShinyHunters, que já reivindicou vítimas em mais de 100 organizações, majoritariamente universidades.
Segundo notificação de incidente publicada pela montadora em 26 de junho, a Oracle avisou a Nissan de um “evento cibernético” que afetou centenas de empresas usuárias do PeopleSoft — e a Nissan foi alvo específico dentro dessa onda. A janela de exploração ocorreu entre 27 de maio e 9 de junho de 2026, período em que os atacantes tiveram acesso ao ambiente antes de a Oracle publicar um comunicado out-of-band com mitigação para a falha.
Os dados expostos incluem números de identificação nacional (Social Security nos EUA, equivalentes em outros países), informações bancárias, dados fiscais, registros financeiros e informações de dependentes e beneficiários. A empresa restringiu o acesso à folha de pagamento — agora exigindo VPN corporativa para consulta de holerite ou alteração de dados de depósito — e adicionou checagens extras de identidade antes de processar solicitações relacionadas a pagamentos.
A CVE-2026-35273 é uma falha crítica de remote code execution na camada do Oracle PeopleSoft — a suíte que a Nissan usa para folha de pagamento e recursos humanos. A Oracle a classificou como zero-day, ou seja, foi descoberta em uso ativo antes de qualquer patch estar disponível. O comunicado emergencial da Oracle chegou apenas depois de a campanha estar em curso, o que expôs uma janela silenciosa em que qualquer instância PeopleSoft exposta à internet poderia ser comprometida sem que os defensores tivessem indicador de compromisso publicado.
A operação foi atribuída ao ShinyHunters, coletivo conhecido por invasões de larga escala com viés extorsivo — inclui breach histórico do Ticketmaster, AT&T e do ecossistema Salesforce durante 2024 e 2025. O grupo costuma monetizar vazamentos em fóruns russos e via extorsão direta às vítimas.
“É um evento de vítimas em massa em centenas de organizações não relacionadas. Aplicar o patch da falha não faz absolutamente nada pelos dados que já foram exfiltrados durante a janela de exploração.”
Simon Pamplin, CTO da Certes
O incidente marca a segunda grande campanha de exploração en masse de um zero-day de plataforma corporativa neste primeiro semestre, e reforça um padrão que a Plugged Ninja vem monitorando: adversários priorizam falhas em software de RH e ERP porque o ROI de dados é altíssimo — Social Security numbers, contas bancárias e dependentes valem muito no mercado de fraude, e uma única exploração devolve dezenas de milhares de registros de qualidade. É a mesma lógica que vimos em campanhas contra MOVEit em 2023 e contra Cleo em 2024.
O tempo entre exploração e comunicado formal da Oracle merece atenção: sob a perspectiva do defensor, houve pelo menos duas semanas em que instâncias PeopleSoft expostas rodavam sem qualquer mitigação disponível. Empresas que expõem consoles de administração desses ERPs à internet — prática ainda comum em ambientes legados — continuam vulneráveis a repetições da mesma dinâmica. E, como lembra Pamplin, aplicar o patch não recupera os dados já vazados; a resposta correta envolve data-centric security: criptografia em nível de registro, tokenização de PII e monitoramento contínuo de egress.
Fonte: Infosecurity Magazine
Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…
Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…
A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…
Estudo do CISPA revela três crashes no AirDrop e três bypasses lógicos no Quick Share…
Atacantes desconhecidos abusam de falha crítica (CVSS 10.0) no fluxo OIDC do SimpleHelp para criar…
Bug com CVSS 8.8 identificado pela JFrog é variante do DirtyFrag e ecoa o Dirty…