Nissan ha rivelato una violazione dei dati che riguarda dipendenti attuali ed ex dopo che gli aggressori hanno sfruttato una vulnerabilità critica di Oracle PeopleSoft durante una più ampia campagna di furto di dati collegata al gruppo di estorsione ShinyHunters.
Secondo le notifiche di violazione, Nissan Americas ha utilizzato Oracle PeopleSoft per gestire le informazioni sui dipendenti, inclusi i salari, l’amministrazione fiscale e altre funzioni delle risorse umane. Oracle ha informato il costruttore che gli attori minacciosi avevano compromesso ambienti PeopleSoft appartenenti a centinaia di organizzazioni e che Nissan era tra le aziende specificamente prese di mira.
L’azienda ha dichiarato che l’indagine è ancora in corso, ma ritiene che gli aggressori possano aver avuto accesso a una vasta gamma di informazioni sensibili dei dipendenti. I dati potenzialmente esposti includono nomi, dati di contatto, informazioni bancarie, numeri di previdenza sociale, numeri di assicurazione sociale, numeri di identificazione nazionale, documenti fiscali, informazioni finanziarie e dati di caricari o beneficiari.
Si ritiene che la violazione colpisca dipendenti attuali ed ex negli Stati Uniti, Canada, Messico e Brasile. Nissan ha dichiarato di aver attivato le procedure di risposta agli incidenti dopo aver appreso della compromessa, coinvolto esperti esterni di cybersecurity, messo in sicurezza i sistemi interessati e continua a collaborare con Oracle man mano che l’indagine procede.
L’incidente fa parte di una campagna più ampia che sfrutta una vulnerabilità critica di Oracle PeopleSoft PeopleTools, tracciata come CVE-2026-35273. I ricercatori di sicurezza e Oracle hanno avvertito che la falla permetteva l’esecuzione remota di codice non autenticata ed è stata sfruttata come zero-day prima che le mitigazioni diventassero disponibili.
All’inizio di questo mese, il gruppo di estorsione ShinyHunters ha dichiarato di aver compromesso più di 300 istanze Oracle PeopleSoft in oltre 100 organizzazioni sfruttando la vulnerabilità. Sebbene tali affermazioni non siano state verificate in modo indipendente in modo completo, diverse organizzazioni hanno successivamente confermato violazioni legate alla campagna, inclusa Nissan.
A differenza degli attacchi ransomware tradizionali che criptano immediatamente i sistemi, questa campagna si è concentrata principalmente sul furto di dati sensibili per l’estorsione. Le organizzazioni i cui sistemi HR e payroll si basavano su server vulnerabili di PeopleSoft sono diventate bersagli attraenti perché contenevano grandi volumi di record dei dipendenti e informazioni finanziarie.