Nissan heeft een datalek bekendgemaakt die huidige en voormalige medewerkers treft, nadat aanvallers een kritieke Oracle PeopleSoft-kwetsbaarheid hebben misbruikt tijdens een bredere datadiefstalcampagne die gelinkt is aan de afpersingsgroep ShinyHunters.
Volgens meldingen over datalekken gebruikte Nissan Americas Oracle PeopleSoft om medewerkersinformatie te beheren, waaronder loonadministratie, belastingadministratie en andere HR-functies. Oracle informeerde de autofabrikant dat dreigingsactoren PeopleSoft-omgevingen van honderden organisaties hadden gecompromitteerd en dat Nissan een van de specifiek doelgerichte bedrijven was.
Het bedrijf zei dat het onderzoek nog loopt, maar denkt dat aanvallers mogelijk toegang hebben gehad tot een breed scala aan gevoelige informatie van medewerkers. Potentieel blootgestelde gegevens omvatten namen, contactgegevens, bankgegevens, sofinummers, sofinummers, nationale identificatienummers, belastinggegevens, financiële informatie en gegevens van gezinsleden of begunstigden.
Men denkt dat de inbreuk huidige en voormalige werknemers in de Verenigde Staten, Canada, Mexico en Brazilië treft. Nissan zei dat het zijn incidentresponsprocedures heeft geactiveerd nadat het van de compromis had vernomen, externe cybersecurity-experts had ingeschakeld, getroffen systemen had beveiligd en met Oracle blijft samenwerken naarmate het onderzoek vordert.
Het incident maakt deel uit van een grotere campagne waarbij een kritieke Oracle PeopleSoft PeopleTools-kwetsbaarheid wordt uitgebuit, getraceerd als CVE-2026-35273. Beveiligingsonderzoekers en Oracle waarschuwden dat de fout het mogelijk maakte dat er niet-geauthenticeerde externe code-uitvoering mogelijk was en dat deze als zero-day werd benut voordat mitigatiemaatregelen beschikbaar kwamen.
Eerder deze maand beweerde de afpersingsgroep ShinyHunters dat het meer dan 300 Oracle PeopleSoft-instanties bij meer dan 100 organisaties had gecompromitteerd door misbruik te maken van de kwetsbaarheid. Hoewel deze beweringen niet volledig onafhankelijk zijn geverifieerd, hebben meerdere organisaties sindsdien datalekken in verband met de campagne bevestigd, waaronder Nissan.
In tegenstelling tot traditionele ransomware-aanvallen die systemen onmiddellijk versleutelen, richtte deze campagne zich vooral op het stelen van gevoelige gegevens voor afpersing. Organisaties waarvan HR- en loonadministratiesystemen afhankelijk waren van kwetsbare PeopleSoft-servers werden aantrekkelijke doelwitten omdat ze grote hoeveelheden werknemersgegevens en financiële informatie bevatten.