Nissan ha revelado una brecha de datos que afecta a empleados actuales y antiguos después de que los atacantes explotaran una vulnerabilidad crítica de Oracle PeopleSoft durante una campaña más amplia de robo de datos vinculada al grupo de extorsión ShinyHunters.
Según las notificaciones de brecha, Nissan Americas utilizó Oracle PeopleSoft para gestionar la información de los empleados, incluyendo nóminas, administración de impuestos y otras funciones de recursos humanos. Oracle informó al fabricante de automóviles que los actores malintencionados habían comprometido entornos de PeopleSoft pertenecientes a cientos de organizaciones y que Nissan estaba entre las empresas específicamente atacadas.
La empresa afirmó que su investigación sigue en curso, pero cree que los atacantes podrían haber accedido a una amplia variedad de información sensible de los empleados. Los datos potencialmente expuestos incluyen nombres, datos de contacto, información bancaria, números de la Seguridad Social, números de Seguro Social, números de identificación nacional, registros fiscales, información financiera y datos de dependientes o beneficiarios.
Se cree que la brecha afecta a empleados actuales y antiguos en Estados Unidos, Canadá, México y Brasil. Nissan dijo que activó sus procedimientos de respuesta a incidentes tras enterarse del compromiso, contrató a expertos externos en ciberseguridad, aseguró los sistemas afectados y continúa trabajando con Oracle a medida que avanza la investigación.
El incidente forma parte de una campaña más amplia que explota una vulnerabilidad crítica de Oracle PeopleSoft PeopleTools, rastreada como CVE-2026-35273. Investigadores de seguridad y Oracle advirtieron que la vulnerabilidad permitía la ejecución remota de código no autenticado y se explotaba como un día cero antes de que las mitigaciones estuvieran disponibles.
A principios de este mes, el grupo de extorsión ShinyHunters afirmó haber comprometido más de 300 instancias de Oracle PeopleSoft en más de 100 organizaciones explotando la vulnerabilidad. Aunque esas afirmaciones no han sido verificadas de forma independiente en su totalidad, varias organizaciones han confirmado desde entonces violaciones vinculadas a la campaña, incluida Nissan.
A diferencia de los ataques tradicionales de ransomware que cifran sistemas de inmediato, esta campaña se centró principalmente en robar datos sensibles para extorsión. Las organizaciones cuyos sistemas de RRHH y nóminas dependían de servidores vulnerables de PeopleSoft se convirtieron en objetivos atractivos porque contenían grandes volúmenes de registros de empleados e información financiera.