ShinyHunters, Oracle PeopleSoft Saldırısında 100'den Fazla Üniversiteyi Hedef Aldı: Milyonlarca Öğrenci Verisi Çalındı

Saldırıda kullanılan yöntem, siber güvenlik dünyasında "araç zinciri" (gadget chain) olarak bilinen bir teknikti. ShinyHunters, BleepingComputer'a yaptığı açıklamada, bilinen eski güvenlik açıklarını, yeni keşfedilen sıfırıncı gün açıklarıyla birleştirerek PeopleSoft sistemlerini hedef aldıklarını belirtti . Bu saldırı zincirinin her sistemde işe yaramadığı, başarının büyük ölçüde hedef kurumun PeopleSoft yapılandırmasına bağlı olduğu vurgulandı .

Grup, her zamanki taktiğini uygulayarak parayı ödemeyen kurbanların çalınan verilerini özel sızıntı sitelerinde yayınlıyor. Bu "öde ya da sızdır" modeli, kurbanlar üzerinde hem maddi hem de itibari baskı kurmak için tasarlandı .

Eğitim Sektörü Ana Hedef Tahtasındaydı

Saldırının asıl yükünü üniversiteler çekti. ShinyHunters, 2026'nın başlarında Canvas/Instructure ve Salesforce Experience Cloud'a karşı yürüttüğü kampanyalarda da görüldüğü gibi, yoğun bir şekilde yüksek öğrenim kurumlarına odaklandı . Eğitim sektörü, kişisel ve mali veriler açısından zengin bir hedef olmasının yanı sıra, genellikle daha sınırlı BT güvenlik bütçeleriyle çalıştığı için siber suçlular için cazip bir alan.

Nottingham Üniversitesi saldırıya uğradığını doğruladı. Saldırganlar, Mayıs 2026 sonunda üniversitenin Oracle PeopleSoft tabanlı Campus Solutions öğrenci kayıt sistemine sızdı . ShinyHunters tarafından internete sızdırılan örnek veri paketinde öğrenci, aday, mali yardım, göçmenlik, sağlık ve idari kayıtların yer aldığı görüldü . Grup, Nottingham'ın İngiltere, Malezya ve Çin kampüslerinden fatura ve ödeme kayıtları, kredi kartı bilgileri, öğrenci finansman verileri ve kampüs portalı dökümleri dahil olmak üzere 40 GB'tan fazla hassas bilgiyi çaldığını iddia etti . Bu, öğrenci ve mezunların ulusal sigorta numaraları, ev adresleri, eğitim geçmişleri ve finansal detayları gibi son derece kritik bilgileri içeriyor .

Değişen Taktikler: Telefon Dolandırıcılığından Sıfırıncı Gün Açıklarına

PeopleSoft kampanyası, ShinyHunters için önemli bir taktik değişikliğine işaret ediyor. 2025'in büyük bölümünde ve 2026'nın başında grup, kurumları ihlal etmek için neredeyse sadece kimlik ve erişim istismarı yöntemlerine başvuruyordu. Bu yöntemler arasında telefon dolandırıcılığı (vishing), sosyal mühendislik, Okta gibi tek oturum açma (SSO) hesaplarının ele geçirilmesi ve OAuth jetonlarının kötüye kullanılması bulunuyordu . Mandiant ve Google Tehdit İstihbarat Grubu'nun raporları, ShinyHunters'ın BT yardım masası personeli gibi davranarak çalışanları şirket logolu sahte sitelere yönlendirdiğini, SSO kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını çaldığını belgeledi .

Hatta The Crosswalk adlı tehdit istihbarat brifingi, ShinyHunters'ın "neredeyse hiçbir zaman yazılım açıklarından yararlanmadığını" ve yardım masası doğrulama süreçleri, çalışan MFA'sı ve üçüncü taraf SaaS OAuth jetonlarına odaklandığını kesin bir dille ifade etmişti . PeopleSoft saldırıları ise bu kalıbı tamamen kırarak, grubun daha önce operasyonlarında görülmemiş bir şekilde, sıfırıncı gün açıkları da dahil olmak üzere gerçek yazılım istismarlarını kullandığını gösteriyor . Bu, grubun teknik kapasitesini genişlettiğinin ve artık yalnızca insan faktörüne değil, kurumsal yazılımların kod hatalarına da güvenebildiğinin net bir göstergesi.

Oracle ve İngiliz Yetkililerden Sınırlı Tepki

10 Haziran 2026 itibarıyla, Oracle bu özel PeopleSoft kampanyasına yönelik henüz bir kamuoyu açıklaması veya güvenlik danışma belgesi yayınlamadı. Bu faaliyetle bağlantılı herhangi bir yama duyurulmadı veya onaylanmadı . Oracle'ın sessizliği, dünya çapında bu yazılımı kullanan binlerce kurum için belirsizliği artırıyor.

İngiliz yetkililer de—Bilgi Komiserliği Ofisi (ICO) ve kolluk kuvvetleri dahil—olayla ilgili henüz özel bir kamuoyu yorumu yapmadı. Nottingham Üniversitesi, süreci dahili olarak yöneterek öğrencileri doğrudan bilgilendirdi ve inceleme için sistemleri geçici olarak çevrimdışı bıraktı . Bu, üniversitenin kriz iletişimini ve hasar kontrolünü kendi başına yürütmek zorunda kaldığını gösteriyor.

İhlal Göstergeleri (IoC'ler): Savunmacılar İçin Zorlu Bir Görev

Siber güvenlik topluluğu, bu kampanyaya bağlı PeopleSoft'a özgü IP adresleri veya dosya hash'leri gibi ihlal göstergelerini (IoC'ler) henüz geniş çapta yayınlamadı. Huntress, ShinyHunters altyapısıyla ilişkili ağ göstergelerini içeren daha geniş bir Tehdit Aktörü Profili yayınladı, ancak bunlar PeopleSoft sömürüsüyle değil, SaaS odaklı kampanyalarla ilgili .

Bu, savunmacılar için işi daha da zorlaştırıyor. ShinyHunters'ın önceki kampanyalarındaki tipik yöntemi olan kimlik istismarı, nadiren yazılım açığına özgü IoC'ler üretir. Bu yüzden, birçok üniversitenin güvenlik ekipleri, sistemlerinde bu özel saldırıya dair bir iz yakalamakta zorlanabilir .

ShinyHunters'ın 2026 Tırmanışı: Bir Kitlesel Şantaj Modeli

PeopleSoft kampanyası, grubun 2026'daki acımasız yükselişinin bir parçası:

• 2026 Başı: AuraInspector aracı ile yanlış yapılandırılmış Salesforce Experience Cloud sistemlerine yönelik kampanya; ShinyHunters 400'e yakın kurumun etkilendiğini iddia etti .
• Şubat 2026: Las Vegas'taki Wynn Resorts ihlali. 800 binden fazla çalışan kaydı çalındı ve saldırganlar, yine bir Oracle PeopleSoft açığından yararlanarak sisteme ilk girişi sağladıklarını iddia etti .
• Nisan–Mayıs 2026: Eğitim sektörünün gördüğü en büyük veri hırsızlığı olan Canvas/Instructure Öğrenim Yönetim Sistemi (LMS) ihlali. ShinyHunters, yaklaşık 8.000–9.000 kurumdan toplam 275 milyon kayıt çaldığını iddia etti ve birçok okulda final sınavları ertelendi .
• Mayıs–Haziran 2026: Amerikan telekomünikasyon devi Charter Communications ihlali; 4.9 milyon müşteri kaydı çalındı .
• Haziran 2026: Oracle PeopleSoft kampanyası, listeye bir seferde 100'den fazla kurumu ve 300'den fazla sistemi ekledi .

Verizon'ın 2026 Veri İhlali Araştırmaları Raporu, siber güvenlikte yapısal bir değişimi doğruladı: 19 yıldır ilk kez, güvenlik açığı istismarı (%31), ihlallerin başlangıç vektörü olarak çalınan kimlik bilgilerini (%13) geride bıraktı . ShinyHunters'ın sahte telefon aramaları ve kimlik hırsızlığından, gerçek yazılım açıkları zincirine dönüşü, bu daha geniş küresel eğilimle mükemmel bir uyum içinde. Bu durum, yaygın olarak kullanılan kurumsal platformlara karşı yürütülen toplu paralel kampanyaların artarak devam edeceğinin güçlü bir sinyali.

Üniversiteler için çıkarılacak ders çok açık. Uzaktan eğitim ve idari işler için Canvas ve PeopleSoft gibi platformları zorunlu kılan aynı konsolide yazılım tedarik zinciri, saldırganlar yamasız bir uç nokta bulduğunda, bu platformları felaket boyutunda tek bir arıza noktasına dönüştürdü .