ShinyHunters hävdar intrång i Oracle PeopleSoft – över 100 organisationer drabbade i utpressningskampanj

Vilken typ av data påstås ha stulits?

Den stulna datan uppges innehålla:

• Personuppgifter som namn, e-postadresser, telefonnummer och hemadresser
• HR- och ekonomidokument från PeopleSoft-systemen
• Student- och lärarregister (från intrånget mot Canvas/Instructure) – gruppen har påstått sig ha hundratals miljoner poster
• Autentiseringstoken som sedan använts för vidare attacker mot Salesforce och andra molnmiljöer

Gruppens ursprungliga mål: FBI och swatting-förnekande

I en chattkonversation med TechCrunch uppgav en medlem i ShinyHunters att gruppens ursprungliga avsikt var att bryta sig in i en PeopleSoft-server hos FBI . Planen var att använda den åtkomsten för att publicera ett uttalande där man tog avstånd från en serie swatting-incidenter som FBI varnat för i en offentlig bulletin bara månaden innan . Gruppen ville alltså förneka inblandning i de falska polislarm som amerikansk polis kopplat till aktörer med band till ShinyHunters. FBI-intrånget misslyckades dock enligt gruppmedlemmen .

Oracles svar på incidenten

Per den 11 juni 2026 hade Oracle inte gått ut med något offentligt uttalande som adresserade ShinyHunters påståenden . Däremot publicerade Oracle den 10 juni 2026 en säkerhetsvarning för CVE-2026-35273, en kritisk sårbarhet (CVSS 9.8 av 10) i Oracle PeopleSoft PeopleTools som kan utnyttjas på distans utan autentisering och leda till fjärrexekvering av kod . Denna säkerhetsuppdatering åtgärdar exakt den typ av sårbarhet som säkerhetsforskare och BleepingComputer identifierat som den troliga vägen in för ShinyHunters kampanj .

För svenska organisationer som använder Oracle PeopleSoft understryker detta vikten av att omedelbart kontrollera loggar efter misstänkta anslutningar och utan dröjsmål applicera Oracles senaste säkerhetsuppdateringar.