Nissan Sofre Vazamento de Dados Massivo Via Vulnerabilidade no Oracle PeopleSoft
A Nissan confirmou um incidente de segurança que comprometeu dados de funcionários atuais e antigos, explorando uma falha no sistema Oracle PeopleSoft. A extensão total do vazamento e o número exato de vítimas ainda estão sob investigação.
MundiX News·04 de julho de 2026·5 min de leitura·👁 1 views
A gigante automotiva Nissan revelou que sofreu uma violação de dados significativa, afetando informações confidenciais de seus funcionários, tanto os atuais quanto os que já passaram pela empresa. A investigação aponta que o ataque explorou uma vulnerabilidade no sistema Oracle PeopleSoft, utilizado pela Nissan Americas para gerenciar dados de recursos humanos, processamento de folha de pagamento e administração fiscal. A gravidade da situação foi comunicada à Procuradoria-Geral da Califórnia, indicando a potencial exposição de dados sensíveis como informações bancárias, documentos fiscais e números de seguro social.
De acordo com os comunicados da empresa, a Oracle alertou a Nissan sobre um ataque que atingiu registros de RH de centenas de empresas, e posteriormente confirmou que a Nissan era um dos alvos visados. Embora a investigação detalhada ainda esteja em andamento, as estimativas iniciais sugerem que a fuga de dados pode ter impactado funcionários da Nissan nos Estados Unidos, Canadá, México e Brasil. Os dados potencialmente comprometidos incluem informações de contato, detalhes bancários, números de seguro social (americanos e canadenses), dados de identificação, registros financeiros e fiscais, além de informações sobre dependentes e beneficiários.
Em resposta ao incidente, a Nissan informou que notificará pessoalmente todos os funcionários afetados após a conclusão da investigação, detalhando as informações específicas que foram expostas. Como medida de mitigação, as vítimas receberão ofertas de monitoramento gratuito de crédito e de vazamentos na dark web, onde aplicável. A empresa agiu prontamente, notificando as autoridades policiais, contratando especialistas independentes em cibersegurança, bloqueando o acesso não autorizado e colaborando ativamente com a Oracle na análise do ocorrido. Para reforçar a segurança interna, o acesso a dados de folha de pagamento foi temporariamente restrito, exigindo que os funcionários acessem seus contracheques e realizem alterações nos dados bancários apenas a partir da rede corporativa ou via VPN segura, com verificações adicionais de identidade implementadas.
Fontes internas da Nissan associam o incidente a uma "vulnerabilidade desconhecida" no Oracle PeopleSoft. No entanto, o timing do ataque coincide com uma campanha de exploração em larga escala conduzida pelo grupo de hackers ShinyHunters, que tem sido ativo na exploração de vulnerabilidades zero-day no Oracle PeopleSoft. Especificamente, a vulnerabilidade em questão, identificada como CVE-2026-35273 (com um score CVSS de 9.8), permitia a execução remota de código sem a necessidade de autenticação. Este bug afetava as versões PeopleTools 8.61 e 8.62. Relatórios de grupos como o Google Threat Intelligence e a Mandiant indicam que essa falha estava sendo ativamente explorada por atacantes desde pelo menos 27 de maio até 9 de junho de 2026. A ShinyHunters já havia declarado ter comprometido mais de 300 instâncias do PeopleSoft em mais de 100 organizações globalmente, com foco em instituições educacionais, mas também buscando dados corporativos financeiros e de RH.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A gigante automotiva Nissan revelou que sofreu uma violação de dados significativa, afetando informações confidenciais de seus funcionários, tanto os atuais quanto os que já passaram pela empresa. A investigação aponta que o ataque explorou uma vulnerabilidade no sistema Oracle PeopleSoft, utilizado pela Nissan Americas para gerenciar dados de recursos humanos, processamento de folha de pagamento e administração fiscal. A gravidade da situação foi comunicada à Procuradoria-Geral da Califórnia, indicando a potencial exposição de dados sensíveis como informações bancárias, documentos fiscais e números de seguro social.
De acordo com os comunicados da empresa, a Oracle alertou a Nissan sobre um ataque que atingiu registros de RH de centenas de empresas, e posteriormente confirmou que a Nissan era um dos alvos visados. Embora a investigação detalhada ainda esteja em andamento, as estimativas iniciais sugerem que a fuga de dados pode ter impactado funcionários da Nissan nos Estados Unidos, Canadá, México e Brasil. Os dados potencialmente comprometidos incluem informações de contato, detalhes bancários, números de seguro social (americanos e canadenses), dados de identificação, registros financeiros e fiscais, além de informações sobre dependentes e beneficiários.
Em resposta ao incidente, a Nissan informou que notificará pessoalmente todos os funcionários afetados após a conclusão da investigação, detalhando as informações específicas que foram expostas. Como medida de mitigação, as vítimas receberão ofertas de monitoramento gratuito de crédito e de vazamentos na dark web, onde aplicável. A empresa agiu prontamente, notificando as autoridades policiais, contratando especialistas independentes em cibersegurança, bloqueando o acesso não autorizado e colaborando ativamente com a Oracle na análise do ocorrido. Para reforçar a segurança interna, o acesso a dados de folha de pagamento foi temporariamente restrito, exigindo que os funcionários acessem seus contracheques e realizem alterações nos dados bancários apenas a partir da rede corporativa ou via VPN segura, com verificações adicionais de identidade implementadas.
Fontes internas da Nissan associam o incidente a uma "vulnerabilidade desconhecida" no Oracle PeopleSoft. No entanto, o timing do ataque coincide com uma campanha de exploração em larga escala conduzida pelo grupo de hackers ShinyHunters, que tem sido ativo na exploração de vulnerabilidades zero-day no Oracle PeopleSoft. Especificamente, a vulnerabilidade em questão, identificada como CVE-2026-35273 (com um score CVSS de 9.8), permitia a execução remota de código sem a necessidade de autenticação. Este bug afetava as versões PeopleTools 8.61 e 8.62. Relatórios de grupos como o Google Threat Intelligence e a Mandiant indicam que essa falha estava sendo ativamente explorada por atacantes desde pelo menos 27 de maio até 9 de junho de 2026. A ShinyHunters já havia declarado ter comprometido mais de 300 instâncias do PeopleSoft em mais de 100 organizações globalmente, com foco em instituições educacionais, mas também buscando dados corporativos financeiros e de RH.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.