A Nissan Americas confirmou um incidente de cibersegurança que expôs dados pessoais de atuais e antigos colaboradores em quatro países — Estados Unidos, Canadá, México e Brasil. O incidente resulta da exploração de uma vulnerabilidade crítica de dia zero no Oracle PeopleSoft, o software empresarial utilizado pela fabricante para gerir registos de pessoal, incluindo salários, dados fiscais e informação bancária. O ataque está associado ao grupo de extorsão ShinyHunters, responsável por uma campanha que afetou mais de cem organizações a nível mundial.
A vulnerabilidade explorada
No centro do incidente está a CVE-2026-35273, uma falha crítica com classificação 9,8 em 10 na escala CVSS, localizada no Environment Management Hub do PeopleTools — o conjunto de ferramentas que sustenta o Oracle PeopleSoft. A vulnerabilidade não exige autenticação nem qualquer interação do utilizador, e é explorável remotamente através de HTTP simples, podendo resultar em execução remota de código. A Oracle divulgou um alerta de segurança fora do ciclo habitual de atualizações e lançou medidas de mitigação de emergência.
Segundo a Mandiant e o Google Threat Intelligence Group, que rastreiam o grupo responsável sob a designação UNC6240, a exploração da falha como dia zero decorreu entre 27 de maio e 9 de junho de 2026 — um período de quase duas semanas antes da divulgação pública e do lançamento de mitigações pela Oracle. Este período de exploração ativa coincide exatamente com a janela de comprometimento identificada pela Nissan na sua notificação.
Escala do ataque
O grupo ShinyHunters reivindicou ter comprometido mais de 300 instâncias PeopleSoft em mais de 100 organizações a nível global. O setor da educação foi particularmente afetado — a Universidade de Nottingham confirmou publicamente uma violação que expôs registos pessoais e académicos de 454.600 atuais e antigos estudantes, posteriormente publicados no site de divulgação do grupo. A National Association of Insurance Commissioners (NAIC), nos Estados Unidos, foi outra das entidades a confirmar acesso não autorizado aos seus sistemas PeopleSoft, por volta de 11 de junho.
A Oracle informou a Nissan de que se tratou de “um evento cibernético” e que os registos de pessoal de centenas de empresas podem ter sido obtidos pelos atacantes. Até ao momento, a Oracle não confirmou publicamente se a vulnerabilidade foi explorada nestes ataques específicos, ainda que a Mandiant tenha confirmado de forma independente a exploração como dia zero.
Dados potencialmente expostos
Segundo a notificação apresentada pela Nissan ao gabinete do Procurador-Geral da Califórnia, os dados em risco incluem números de segurança social, dados bancários e registos fiscais de colaboradores. A empresa já tomou medidas de contenção, restringindo o acesso aos sistemas de salários à VPN corporativa e introduzindo verificação de identidade adicional para prevenir alterações não autorizadas.
Padrão recorrente do ShinyHunters
O grupo ShinyHunters tem um histórico consolidado de ataques à escala industrial contra plataformas empresariais amplamente utilizadas. Em 2024, ataques de credential stuffing contra ambientes ligados à Snowflake resultaram em violações confirmadas na Ticketmaster, no Santander e em dezenas de outras organizações. Mais recentemente, o grupo visou clientes da Salesforce numa campanha massiva de roubo de dados, e atacou também a plataforma educativa Instructure Canvas. O padrão é consistente: identificar uma vulnerabilidade numa plataforma usada por centenas ou milhares de organizações, automatizar a exploração à escala, e monetizar os dados roubados através de extorsão e pressão pública de divulgação.
Porque é que isto importa
Este caso ilustra o risco sistémico de vulnerabilidades em software empresarial de gestão de recursos humanos amplamente adotado — um único ponto de falha pode comprometer simultaneamente centenas de organizações, independentemente da sua própria postura de segurança interna. A Arctic Wolf caracterizou a CVE-2026-35273 como “um risco imediato para qualquer organização com uma instância exposta e vulnerável”.
Para organizações em Portugal que utilizem Oracle PeopleSoft ou sistemas ERP equivalentes para gestão de recursos humanos, este incidente sublinha a importância de aplicar mitigações de emergência sem demora quando divulgadas pelo fornecedor, e de monitorizar acessos não autorizados a sistemas de gestão de pessoal. Ao abrigo do Regime Jurídico da Cibersegurança (NIS2), entidades essenciais e importantes que sofram incidentes deste tipo têm obrigações de notificação ao CNCS, independentemente de a vulnerabilidade ter origem num fornecedor terceiro.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela Nissan, Oracle, BleepingComputer, The Register, Mandiant, SC Media e SecurityWeek.