Последние несколько недель стали для Oracle настоящим испытанием: киберпреступники активно используют как свежие, так и давно известные бреши в его системах, применяя цепочки поставок для атак на сотни компаний-клиентов. Одним из наиболее значимых «трофеев» злоумышленников стал Nissan.
Автогигант Nissan проинформировал об утечке персональных данных как действующих, так и бывших сотрудников корпорации. Причиной послужила успешная атака на уязвимость в корпоративном ПО Oracle PeopleSoft. В причастности к этому инциденту подозревается группировка ShinyHunters, ранее уже проводившая аналогичные операции.
Oracle объявил о своем уходе из России еще в 2022 году, а его продукты в стране уже давно начали заменять на отечественные разработки.
В уведомлениях об утечке данных, направленных в офис генерального прокурора штата Калифорния, корпорация Oracle заявила, что атаки затронули сотни компаний. Nissan оказался в числе организаций, которые злоумышленники выбрали в качестве приоритетных целей.
Американское подразделение Nissan пояснило, что применяет ERP-систему Oracle PeopleSoft для ведения кадрового учета, «включая расчет заработной платы, налоговое администрирование и хранение прочих кадровых записей».
«Oracle уведомила нас о киберинциденте и о том, что записи о персонале сотен компаний могли оказаться у злоумышленников. Позднее мы выяснили, что Nissan была в числе целенаправленно атакованных организаций», — отмечается в заявлении Nissan.
В компании подчеркнули, что расследование находится на начальном этапе, поэтому полный масштаб произошедшего пока оценить невозможно. В Nissan предполагают, что злоумышленники могли получить доступ к персональным данным, включая контактную информацию сотрудников, банковские реквизиты, номера полисов социального и медицинского страхования, а также прочие финансовые и налоговые сведения.
Инцидент может затронуть интересы как нынешних, так и бывших сотрудников Nissan не только в США, но и в Канаде, Мексике и Бразилии.
Получив информацию об атаке, Nissan запустил процедуру реагирования на инциденты, привлек внешних экспертов по кибербезопасности и совместно с Oracle работает над устранением последствий.
Кроме того, в Nissan заявляют, что приняли меры для прекращения несанкционированного доступа к своей инфраструктуре и предотвращения дальнейшего раскрытия данных сотрудников. Пострадавшим обещаны бесплатные услуги по мониторингу кредитной истории и отслеживанию появления информации на криминальных площадках в даркнете.
На данный момент компания приостановила для сотрудников доступ к расчётным листкам и заблокировала возможность менять банковские реквизиты для прямого зачисления зарплаты. Эти действия разрешены исключительно с устройств, подключённых к корпоративной сети, или через защищённые VPN-каналы. Параллельно вводятся дополнительные этапы проверки личности перед обработкой любых запросов, касающихся выплат.
Организация также уведомила, что сотрудники, чьи данные в будущем окажутся скомпрометированными, получат отдельные сообщения с детальным перечнем утёкшей информации.
С высокой вероятностью атаку на Nissan осуществила активная вымогательская группировка ShinyHunters, которая ранее взяла на себя ответственность за массовое использование неизвестных уязвимостей в ERP-системе Oracle. В беседе с BleepingComputer участники ShinyHunters заявили, что были взломаны более 300 систем Oracle PeopleSoft, принадлежащих сотне организаций.
Вскоре после этого Oracle обнародовала информацию о критической уязвимости, зарегистрированной под кодом CVE-2026-35273, и выпустила инструменты для минимизации рисков.
«Последние недели для Oracle можно назвать катастрофическими, — отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. — Ранее стало известно, что хакеры активно эксплуатируют уязвимость в E-Business Suite, теперь очевидно, что под удар попала и уязвимость нулевого дня, о которой вендор узнал только после инцидента. Прямой вины Nissan в этой ситуации, по всей видимости, нет, однако ущерб уже нанесён, и предстоит выяснить, насколько он масштабен».
Oracle до сих пор официально не подтвердила факт эксплуатации именно этой уязвимости. Тем не менее, эксперты компании Mandiant нашли доказательства того, что злоумышленники использовали CVE-2026-35273 в качестве основного вектора атак, которые проводились с 27 мая по 9 июня.
Основной удар пришёлся по образовательным учреждениям. По информации Mandiant, компания уведомила более 100 организаций, что подтвердило данные, ранее опубликованные ShinyHunters.
С тех пор группировка ShinyHunters начала публиковать похищенные данные на своём сайте утечек.
