Categories: ALERTASINCIDENTES

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

A Nissan confirmou vazamento de dados sensíveis de funcionários atuais e ex-empregados nos Estados Unidos, Canadá, México e Brasil após atacantes explorarem o zero-day CVE-2026-35273 no Oracle PeopleSoft — uma falha crítica de execução remota de código atribuída ao grupo de extorsão ShinyHunters, que já reivindicou vítimas em mais de 100 organizações, majoritariamente universidades.

O que aconteceu

Segundo notificação de incidente publicada pela montadora em 26 de junho, a Oracle avisou a Nissan de um “evento cibernético” que afetou centenas de empresas usuárias do PeopleSoft — e a Nissan foi alvo específico dentro dessa onda. A janela de exploração ocorreu entre 27 de maio e 9 de junho de 2026, período em que os atacantes tiveram acesso ao ambiente antes de a Oracle publicar um comunicado out-of-band com mitigação para a falha.

Os dados expostos incluem números de identificação nacional (Social Security nos EUA, equivalentes em outros países), informações bancárias, dados fiscais, registros financeiros e informações de dependentes e beneficiários. A empresa restringiu o acesso à folha de pagamento — agora exigindo VPN corporativa para consulta de holerite ou alteração de dados de depósito — e adicionou checagens extras de identidade antes de processar solicitações relacionadas a pagamentos.

Detalhes da vulnerabilidade

A CVE-2026-35273 é uma falha crítica de remote code execution na camada do Oracle PeopleSoft — a suíte que a Nissan usa para folha de pagamento e recursos humanos. A Oracle a classificou como zero-day, ou seja, foi descoberta em uso ativo antes de qualquer patch estar disponível. O comunicado emergencial da Oracle chegou apenas depois de a campanha estar em curso, o que expôs uma janela silenciosa em que qualquer instância PeopleSoft exposta à internet poderia ser comprometida sem que os defensores tivessem indicador de compromisso publicado.

A operação foi atribuída ao ShinyHunters, coletivo conhecido por invasões de larga escala com viés extorsivo — inclui breach histórico do Ticketmaster, AT&T e do ecossistema Salesforce durante 2024 e 2025. O grupo costuma monetizar vazamentos em fóruns russos e via extorsão direta às vítimas.

“É um evento de vítimas em massa em centenas de organizações não relacionadas. Aplicar o patch da falha não faz absolutamente nada pelos dados que já foram exfiltrados durante a janela de exploração.”

Simon Pamplin, CTO da Certes

Quem está no radar

  • Universidades concentram a maior parte das vítimas conhecidas, provavelmente por operarem instâncias PeopleSoft com maior superfície pública (portais de alunos, sistemas acadêmicos).
  • Grandes empregadores como a Nissan que padronizaram HR e folha no PeopleSoft — perfil comum em multinacionais de manufatura, varejo e utilities.
  • Governos estaduais e locais nos EUA, historicamente dependentes de PeopleSoft para gestão de servidores públicos.
  • Funcionários brasileiros da Nissan estão explicitamente incluídos no escopo do vazamento, o que aciona obrigações de comunicação previstas na LGPD (Art. 48).

Análise

O incidente marca a segunda grande campanha de exploração en masse de um zero-day de plataforma corporativa neste primeiro semestre, e reforça um padrão que a Plugged Ninja vem monitorando: adversários priorizam falhas em software de RH e ERP porque o ROI de dados é altíssimo — Social Security numbers, contas bancárias e dependentes valem muito no mercado de fraude, e uma única exploração devolve dezenas de milhares de registros de qualidade. É a mesma lógica que vimos em campanhas contra MOVEit em 2023 e contra Cleo em 2024.

O tempo entre exploração e comunicado formal da Oracle merece atenção: sob a perspectiva do defensor, houve pelo menos duas semanas em que instâncias PeopleSoft expostas rodavam sem qualquer mitigação disponível. Empresas que expõem consoles de administração desses ERPs à internet — prática ainda comum em ambientes legados — continuam vulneráveis a repetições da mesma dinâmica. E, como lembra Pamplin, aplicar o patch não recupera os dados já vazados; a resposta correta envolve data-centric security: criptografia em nível de registro, tokenização de PII e monitoramento contínuo de egress.

Recomendações práticas

  • Aplique imediatamente o boletim out-of-band da Oracle referente à CVE-2026-35273 em todas as instâncias PeopleSoft — inclusive homologação, treinamento e ambientes de dev com dados reais.
  • Retire consoles administrativos do PeopleSoft da internet pública. Coloque atrás de VPN, ZTNA ou reverse proxy com autenticação forte.
  • Rode busca retrospectiva por IOCs do ShinyHunters (hashes, C2 recentes divulgados pela Oracle e por parceiros como Google Threat Intelligence) nos últimos 60 dias de logs — a janela de exploração pode ter sido maior do que a Oracle admite.
  • Auditar contas administrativas do PeopleSoft: rotacione credenciais, revise sessões ativas, force reautenticação MFA.
  • Empresas com colaboradores no Brasil devem comunicar a ANPD e os titulares dentro do prazo razoável, sob risco de sanções previstas na LGPD.
  • Ofereça monitoramento de crédito e dark web para os funcionários impactados — é o padrão de mercado e mitiga litígio individual.
  • Adote política de rotação anual (ou mais rápida) de credenciais bancárias e de acesso interno para funcionários cujos dados foram expostos.

Fonte: Infosecurity Magazine

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

7 horas ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

7 horas ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

1 dia ago

Pesquisadores expõem seis falhas no AirDrop e Quick Share que afetam mais de 5 bilhões de dispositivos Apple, Google e Samsung

Estudo do CISPA revela três crashes no AirDrop e três bypasses lógicos no Quick Share…

1 dia ago

Hackers exploram falha máxima no SimpleHelp (CVE-2026-48558) para implantar TaskWeaver e Djinn Stealer em ambientes RMM

Atacantes desconhecidos abusam de falha crítica (CVSS 10.0) no fluxo OIDC do SimpleHelp para criar…

1 dia ago

DirtyClone (CVE-2026-43503): nova falha no kernel Linux permite escalada local para root via page cache

Bug com CVSS 8.8 identificado pela JFrog é variante do DirtyFrag e ecoa o Dirty…

2 dias ago