A Nissan revelou uma violação de dados que afeta funcionários atuais e antigos após invasores explorarem uma vulnerabilidade crítica da Oracle PeopleSoft durante uma campanha mais ampla de roubo de dados ligada ao grupo de extorsão ShinyHunters.
De acordo com notificações de violação, a Nissan Americas utilizou a Oracle PeopleSoft para gerenciar informações dos funcionários, incluindo folha de pagamento, administração tributária e outras funções de recursos humanos. A Oracle informou à montadora que atores ameaçadores comprometeram ambientes da PeopleSoft pertencentes a centenas de organizações e que a Nissan estava entre as empresas especificamente alvo.
A empresa afirmou que sua investigação está em andamento, mas acredita que atacantes podem ter acessado uma ampla gama de informações sensíveis dos funcionários. Dados potencialmente expostos incluem nomes, dados de contato, informações bancárias, números de Seguro Social, números de Seguro Social, números de identificação nacional, registros fiscais, informações financeiras e detalhes de dependentes ou beneficiários.
Acredita-se que a violação afete funcionários atuais e antigos nos Estados Unidos, Canadá, México e Brasil. A Nissan afirmou que ativou seus procedimentos de resposta a incidentes após tomar conhecimento do comprometimento, contratou especialistas externos em cibersegurança, protegeu os sistemas afetados e continua trabalhando com a Oracle à medida que a investigação avança.
O incidente faz parte de uma campanha maior que explora uma vulnerabilidade crítica do Oracle PeopleSoft PeopleTools, rastreada como CVE-2026-35273. Pesquisadores de segurança e a Oracle alertaram que a falha permitia a execução remota de código não autenticado e era explorada como um zero-day antes de as mitigações ficarem disponíveis.
No início deste mês, o grupo de extorsão ShinyHunters afirmou ter comprometido mais de 300 instâncias Oracle PeopleSoft em mais de 100 organizações ao explorar essa vulnerabilidade. Embora essas alegações não tenham sido verificadas de forma independente na totalidade, várias organizações desde então confirmaram violações ligadas à campanha, incluindo a Nissan.
Diferente dos ataques tradicionais de ransomware, que criptografam sistemas imediatamente, esta campanha focou principalmente no roubo de dados sensíveis para extorsão. Organizações cujos sistemas de RH e folha de pagamento dependiam de servidores vulneráveis da PeopleSoft tornaram-se alvos atraentes porque continham grandes volumes de registros de funcionários e informações financeiras.