Nissan 披露通过 Oracle PeopleSoft 的数据泄露 | ShinyHunters 零日攻击影响四个国家的员工

您每月收到的工资单。您是否想知道您的工作场所使用什么类型的软件来管理您的工资和个人信息?对于许多人来说,这是一种他们甚至没有意识到的“自然机制”。然而,这一次,这种常识已经崩溃了。日产员工面临的是他们无法控制的违规行为。这并不是说我忘记锁门或踩到可疑链接。然而,该公司使用的核心系统存在漏洞。仅此一点就使您陷入这样的境地:您的社会安全号码和银行信息可能落入身份不明的人手中。这不仅仅是遥远国家大公司的故事。同样的构图也就在我们旁边。


Nissan North America 宣布,在利用 Oracle PeopleSoft 漏洞的攻击中,现任和前任员工的数据可能已被泄露。州当局网站上的报告日期为2026年6月26日,书面通知日期为6月25日,媒体报道日期为6月29日。日产汽车在给加州总检察长办公室的通知中表示,其接到甲骨文公司的通知,“可能已获取了数百家公司的人事记录”,随后才得知自己是专门针对的。

可能泄露的信息包括联系信息、银行信息、社会安全号码 (SSN)、社会保险号码、国民身份证号码、财务和税务信息,预计将影响美国、加拿大、墨西哥和巴西的员工。该攻击与勒索组织 ShinyHunters 有关,Mandiant 已确认漏洞 CVE-2026-35273 在 5 月 27 日至 6 月 9 日期间被利用为零日漏洞。

从: Nissan 披露与 Oracle 零日攻击有关的员工数据泄露

【编辑部评论】

破译此案的关键是“即使受害者没有做错任何事,但他也参与其中”的结构它位于这不像我们陷入了网络钓鱼电子邮件或我们的员工重复使用了密码。起点是用于管理工资和人力资源的 Oracle PeopleSoft 核心软件中的一个漏洞。

我将跟踪发布过程的具体细节。此违规行为是日产北美公司向加州总检察长提交的通知揭露由.国家主管部门网站的通报日期为2026年6月26日,书面通知的日期为6月25日,媒体于6月29日报道。日产在通知中解释称,其接到甲骨文公司的通知,“发生了一起网络事件,可能已获取数百家公司的人事记录”,随后获悉该公司已成为专门针对的目标。重要的是要记住,向州当局提交报告的是日产,而不是甲骨文,因为这很容易被误解。

该漏洞名为 CVE-2026-35273。根据 Oracle 官方咨询和 NVD 的数据,表示严重性的 CVSS 评分为 9.8 分(满分 10 分),接近最高排名。这个缺陷是如果您可以通过 HTTP 访问网络,则无需登录身份验证或用户交互即可接管服务器。它有一个特点。例如,这就像拥有一把适合建筑物中每个房间的重复钥匙。

时间序列也很重要。根据Mandiant和谷歌威胁情报组的研究,该攻击是在2026年5月27日至2026年6月9日期间观察到的。同时,Oracle于6月10日发布了警报。换句话说在修复可用之前被利用的“零日攻击”这意味着袭击发生在反措施别无选择、只能落后的时期。然而,即使在补丁发布之前,也存在通过限制外部暴露、加强监控和使用 VPN 等缓解措施来降低风险的空间。如果断定我们对此无能为力,那就有点牵强了。

损害的程度不容忽视。 Mandiant 表示已通知 100 多个组织。攻击者 ShinyHunters 声称已入侵 100 个组织的 300 多个 PeopleSoft 实例。该数字是攻击者的声明,并非基于第三方的秘密信息。这点是需要注意的。教育机构的集中度很高,据报道,Mandiant 的通知中 68% 是高等教育机构。据 Have I Been Pwned 称,在英国诺丁汉大学,泄露的数据中包含大约 455,000 个电子邮件地址,甚至护照号码等敏感信息也被泄露。

我想退后一步思考的是,攻击者的范围扩大了多远。过去主要针对的是拥有大量用户的消费服务。然而,这一次出现的是ERP(集成核心业务系统)和人力资源平台是保存组织背后多年个人信息的“保险箱”。是。就攻击的成本效益而言,关键任务系统正在成为有效的目标,在这些系统中,破坏一个系统就可以获取数百家公司的信息。

勒索组织 ShinyHunters(Mandiant 追踪为 UNC6240)主要以针对 Salesforce 等云服务为目标。它也被命名为围绕 Snowflake 的一系列数据盗窃事件。事实上,他们接触了称为 PeopleSoft 的“ERP 核心”迹象表明企业必须保护的防线正在进一步向内推进也可以理解为在另一起事件中,同一组织攻击了教育公司 Instruct Canvas 并声称窃取了 275 至 2.8 亿条数据,据报道 Instruct 与攻击者达成了防止泄露的“协议”(尽管该公司没有明确确认是否支付了赎金)。

请注意,日产本身尚未正式确认与 ShinyHunters 有任何直接联系。该组织的名称并未出现在 Nissan 的通知文件中,该关联仅基于匹配攻击时期和 Mandiant 的归因分析。另据报道,目前该组织的泄密网站上并未列出日产汽车。保持这种距离感很重要。

对于日本读者来说,这绝不是彼岸之火。 PeopleSoft 是一款已在全球范围内用作企业人力资源和薪资基础设施的产品,Oracle 本身也继续引导其作为云迁移的目标。此通知针对美国、加拿大、墨西哥和巴西的员工。许多组织都依赖类似的核心系统。应该是的。仅靠“内部安全意识”无法防范的风险,却隐藏在供应商产品的一行代码中。这一事实迫使所有信息系统人员重新考虑。

从监管角度来看,值得注意的是,日产汽车是第一个向加州总检察长提交通知的公司。该州要求在某些情况下向居民发出通知,并在通知人数超过 500 人时向总检察长提交样本。在日本,必须向个人信息保护委员会报告泄露等情况(初步报告通常在 3 至 5 天内)。公司越全球化,同时遵守多个司法管辖区的披露规则的负担就越大。确保透明度和披露不会引起过度焦虑的信息之间的平衡然而,这个问题将来会被越来越多的人问到。

从长远来看,这件事哪些事情将进一步加深“供应链安全”的讨论看来是的。用户无法审核他们已安装的软件的内容。这就是为什么供应商响应漏洞的速度、假设攻击的设计(零信任)以及防止外部暴露的操作设计比以往任何时候都更成为组织的命脉。便利的背后隐藏着“隐形的依赖”。我们该如何应对?这个警报给我们留下了这样的疑问。

【术语解释】

零日攻击
这是指在补丁可用之前利用软件缺陷的攻击。这意味着防御者只有“零日”时间来做出响应。这次的攻击发生在 Oracle 发出警报之前(6 月 10 日)。

CVE-2026-35273
分配给这次利用的漏洞的标识号。 Oracle PeopleSoft 的 PeopleTools(环境管理组件)中存在不需要身份验证或用户交互的远程代码执行 (RCE) 缺陷。

CVSS(通用漏洞评分系统)
一个国际指数,以0到10的等级来量化漏洞的严重程度。本次得分为9.8,处于“紧急”级别,接近最高排名。

ERP(集成核心业务系统)
集中管理公司核心业务(例如人力资源、工资、会计和库存)的软件的总称。 Oracle PeopleSoft 就是一个典型的例子,它保存员工数据多年。

闪亮猎人(UNC6240)
反复窃取数据和勒索数据的网络犯罪集团。 Mandiant 使用代码“UNC6240”对其进行跟踪。他以在泄密网站上发布被盗数据并强迫人们付费而闻名。

社会保障番号(SSN)
用于识别美国境内个人的号码。由于它用于各种行政和财务程序,因此如果泄露,很容易成为欺诈使用和身份盗窃的滋生地。

零信任
设计理念是基于“仅仅因为它是内部网络并不意味着它应该被信任”的前提来逐点验证访问。除了确保核心系统不暴露于外界之外,这被认为是应对此类攻击的基本准备。

[参考链接]

Oracle(CVE-2026-35273 安全警报)(外部)
Oracle 关于此漏洞的官方公告。包含 CVSS 分数、影响成分和修正信息。

NVD(CVE-2026-35273 详细)(外部)
美国国家标准与技术研究所漏洞数据库。您可以从第三方角度查看分数、攻击情况等技术信息。

日产汽车官方网站(外部)
宣布信息泄露事件的日产全球官方网站。您可以查看公司信息和新闻发布。

Mandiant/Google Cloud(威胁情报博客)(外部)
发布攻击分析的主要信息。攻击时期、方法、UNC6240 的归属以及 68% 数字的来源。

我被骗了吗(外部)
一项免费服务,可让您检查您的电子邮件地址是否已包含在过去的泄密事件中。它也是计算泄露案件数量的来源。

加州总检察长数据泄露报告页面(外部)
日产已向其提交侵权通知的公共数据库。美国侵权通知清单已发布。

个人信息保护委员会(泄露等应对)(外部)
指导您在日本报告泄漏等的义务和程序的官方页面。你可以查一下国内的系统。

Salesforce 官方网站(外部)
ShinyHunters 过去瞄准的最大云 CRM 公司。文中提到它是同一组织的攻击目标。

英结构官方网站(外部)
提供教育学习管理系统“Canvas”。据报道,他在另一起事件中遭到同一组织的袭击。

[参考文章]

ShinyHunters 利用 Oracle PeopleSoft 漏洞瞄准教育行业(Google Cloud / Mandiant)(外部)
将攻击归因于 UNC6240 的主要信息。攻击时间等数据来源,通知超过100个组织,68%的通知目标是高等教育机构。

Oracle 安全警报咨询 – CVE-2026-35273(Oracle)(外部)
主要漏洞信息。 CVSS 9.8 - 无需身份验证 - 可通过 HTTP 进行利用 - 于 6 月 10 日正式确认首次发布。

NVD – CVE-2026-35273(NIST)(外部)
由第三方进行的漏洞评估。我们提出了允许攻击者无需身份验证即可通过 HTTP 接管服务器的技术基础。

Nissan 披露与 Oracle 零日攻击有关的员工数据泄露(BleepingComputer)(外部)
一篇报道日产披露侵权行为的文章。它传达了攻击者声称的 300 个实例以及该事件与该活动的关系。

诺丁汉大学数据泄露(Have I Been Pwned)(外部)
其中包括诺丁汉大学泄露数据中包含约 455,000 个电子邮件地址以及敏感信息泄露的信息。

被黑了!汽车巨头日产披露多国数据泄露事件(网络日报)(外部)
据悉,日产汽车是收到通知的“数百家公司”之一。它还补充了未列出的泄漏站点和 NAIC 时间序列。

[相关文章]

日立子公司 GlobalLogic 披露信息泄露——10,471 人受到 Clop 攻击 Oracle EBS 的影响
与本文类似的先例,由于Oracle核心系统漏洞(CVSS 9.8)导致员工数据泄露。强化遗留 ERP 结构性风险。

ShinyHunters 瞄准欧洲委员会 |威胁泄露 429,000 份工资和人事数据;针对人权机构的勒索的现实
最近发生的一起事件中,同一个 ShinyHunters 针对人员和工资数据。该攻击团伙的手段和目标性质与此次类似。

FBI 对 Salesforce 的警告目标是 UNC6040 和 UNC6395; 700 家公司受到 OAuth 滥用的影响
解释 Mandiant 如何将 UNC6240 (ShinyHunters) 报告为负责勒索的集群。这将是理解同组跟踪代码的辅助线。

[编者后记]

说实话,我在写这篇文章的时候停顿过好几次。我越调查,就越找不到这起案件中受害人的过错。他每天都勤勤恳恳地工作,按时向公司提交信息。有一天,许多人收到一条通知,称他们的数据可能已被泄露。对于这种无理取闹,我一时难以决定该说什么。

我个人将我的信息委托给许多服务机构。银行、工作、常用应用程序。所有这些都是建立在应得到妥善保护的前提下的。然而,这次事件却悄然告诉我们,这个前提随时可能动摇。攻击者的目标正在从我们可以看到的服务前端转移到组织幕后捆绑数据的“金库”。我觉得这个变化不是只有专家才应该知道的。

这就是为什么我不希望这篇文章只是危言耸听。很容易激起恐惧。然而,读完之后,剩下的只是焦虑。如果你知道,你可以做一些事情。不要重复使用密码,使用双因素身份验证,并停止响应您不认识的呼叫。所有这些都是小步骤,但积累起来会在紧急情况下为你提供保护。

未来的科技一定会让我们的生活更加便利。在收获好处的同时,我有时也会想起我留下的东西在哪里。我认为,期望和准备不是二选一,而是两者并举。你感觉如何?