ShinyHunters útočí na univerzity přes Oracle PeopleSoft: Zero-day zneužití a masivní únik dat

K útoku použili takzvaný "gadget chain" – kombinaci starších, známých zranitelností a nově objevených zero-day chyb v PeopleSoftu . Podle jejich vyjádření pro BleepingComputer útok nefunguje univerzálně; jeho úspěch závisí na tom, jak má konkrétní organizace svou instanci PeopleSoftu nakonfigurovanou .

Skupina používá osvědčený model "zaplať, nebo zveřejníme", což znamená, že pokud oběť odmítne zaplatit výkupné, jsou ukradená data zveřejněna na jejich únikových stránkách .

Hlavním cílem byl vzdělávací sektor

Největší dopad pocítily univerzity. ShinyHunters se silně soustředili na instituce vysokoškolského vzdělávání, čímž navázali na svůj trend z předchozích kampaní v roce 2026 proti platformám Canvas/Instructure a Salesforce Experience Cloud .

Univerzita v Nottinghamu potvrdila narušení bezpečnosti. Útočníci pronikli do univerzitního systému studentských záznamů Campus Solutions – který běží na Oracle PeopleSoft – na konci května 2026 . Vzorek odcizených dat zveřejněný ShinyHunters zahrnoval záznamy studentů, uchazečů, finanční pomoci, imigrační, zdravotní a administrativní údaje . Skupina tvrdí, že ukradla více než 40 GB citlivých informací, včetně fakturačních a platebních záznamů, údajů o kreditních kartách, dat o studentských financích a exportů z univerzitního portálu, které zahrnovaly kampusy v Nottinghamu, Malajsii a Číně .

Změna taktiky: Od vishingu k zero-day útokům

Kampaň proti PeopleSoftu představuje pro ShinyHunters významný taktický obrat. Po většinu roku 2025 a začátku 2026 se skupina spoléhala téměř výhradně na zneužívání identit a přístupů – hlasový phishing (vishing), sociální inženýrství, převzetí Okta SSO účtů a zneužití OAuth tokenů – aby pronikla do organizací . Zprávy společností Mandiant a Google Threat Intelligence Group popisovaly, jak ShinyHunters napodobovali pracovníky IT helpdesku, posílali zaměstnance na phishingové stránky imitující firemní portály a kradli přihlašovací údaje k jednotnému přihlášení (SSO) a kódy pro vícefaktorové ověření (MFA) .

Bezpečnostní briefing The Crosswalk otevřeně konstatoval, že ShinyHunters "téměř nikdy nezneužívají softwarové zranitelnosti" a místo toho se zaměřují na ověřování přes helpdesk, MFA zaměstnanců a OAuth tokeny od legitimních třetích stran . Útoky na PeopleSoft se tomuto schématu zcela vymykají – používají skutečné softwarové exploity včetně zero-day zranitelností, což u nich dosud nebylo pozorováno .

Oracle a britské úřady: Zatím jen omezená reakce

K 10. červnu 2026 Oracle nevydal žádné veřejné prohlášení ani bezpečnostní upozornění, které by se konkrétně věnovalo této kampani proti PeopleSoftu. Nebyly oznámeny ani potvrzeny žádné záplaty související s touto aktivitou .

Britské úřady – včetně Úřadu pro informace (ICO) a policejních složek – se k incidentu veřejně nevyjádřily. Univerzita v Nottinghamu řešila situaci interně, informovala přímo studenty a dočasně odstavila své systémy kvůli vyšetřování .

Indikátory kompromitace: Co je k dispozici

Bezpečnostní komunita zatím plošně nezveřejnila indikátory kompromitace (IoC) specifické pro PeopleSoft, jako jsou IP adresy nebo hashe souborů, které by souvisely s touto kampaní. Společnost Huntress zveřejnila širší profil útočníka se síťovými indikátory spojenými s infrastrukturou ShinyHunters, ale ty se týkají kampaní zaměřených na SaaS služby, nikoli konkrétně na zneužití PeopleSoftu .

Briefing The Crosswalk uvádí, že typická taktika ShinyHunters – zneužívání identit – málokdy produkuje IoC specifické pro softwarovou zranitelnost, což činí obranné vyhledávání pro tuto konkrétní kampaň obtížnějším .

Eskalace ShinyHunters v roce 2026: Vzor masového vydírání

Kampaň proti PeopleSoftu zapadá do brutální celoroční eskalace:

• Začátek roku 2026: Kampaň AuraInspector zneužila chybně nakonfigurované instance Salesforce Experience Cloud, přičemž ShinyHunters tvrdili, že zasáhli téměř 400 organizací .
• Únor 2026: Únik dat v kasinu Wynn Resorts odhalil více než 800 000 zaměstnaneckých záznamů, přičemž prvotní přístup byl rovněž spojen se zranitelností v Oracle PeopleSoft .
• Duben–květen 2026: Únik dat z Canvas/Instructure LMS – dosud největší krádež dat ve vzdělávacím sektoru – kde ShinyHunters tvrdili, že získali 275 milionů záznamů napříč přibližně 8 000–9 000 institucemi .
• Květen–červen 2026: Únik dat společnosti Charter Communications odhalil 4,9 milionu záznamů zákazníků .
• Červen 2026: Kampaň Oracle PeopleSoft přidala dalších více než 100 organizací a 300+ instancí .

Zpráva Verizonu o narušení bezpečnosti dat za rok 2026 (DBIR) potvrdila strukturální posun: zneužívání zranitelností poprvé za 19 let předstihlo ukradené přihlašovací údaje a stalo se hlavním vektorem útoků . Příklon ShinyHunters k reálným exploitovým řetězcům – spíše než ke zneužívání identit – je v souladu s tímto širším trendem a signalizuje, že masové paralelní kampaně proti široce nasazeným podnikovým platformám budou pravděpodobně pokračovat.

Pro univerzity z toho plyne jasné ponaučení. Stejný konsolidovaný softwarový dodavatelský řetězec, který učinil platformy jako Canvas a PeopleSoft nezbytnými pro distanční výuku a administrativu, z nich také udělal katastrofické centrální body selhání ve chvíli, kdy útočníci najdou neopravené místo .