Autofabrikant Nissan heeft een datalek gemeld nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten en daarbij gevoelige personeelsgegevens buitmaakten. Het gaat om huidige en voormalige werknemers in de Verenigde Staten, Canada, Mexico en Brazilie. De buitgemaakte data is precies het soort dat je niet wilt verliezen: contactgegevens, bankgegevens, sofinummers en andere nationale identificatienummers, financiele en fiscale gegevens, en informatie over gezinsleden en begunstigden.
Het lek zit in Oracle PeopleSoft Enterprise PeopleTools en heeft kenmerk CVE-2026-35273. Het is een kwetsbaarheid in de Environment Management-component waarmee een aanvaller op afstand code kan uitvoeren. De ernst is maximaal: de fout krijgt een CVSS-score van 9,8 en vereist geen authenticatie, geen gebruikersinteractie en werkt over gewoon HTTP. Met andere woorden, een blootgesteld systeem is vanaf het open internet aan te vallen zonder dat iemand iets fout hoeft te doen.
Een aanval die honderden organisaties trof
Nissan staat niet alleen. Securitybedrijf Mandiant bevestigde dat het lek tussen 27 mei en 9 juni 2026 actief is misbruikt en waarschuwde meer dan honderd organisaties. De afpersgroep ShinyHunters, door onderzoekers gevolgd als UNC6240, claimt zo'n 300 PeopleSoft-systemen bij ruim honderd organisaties te hebben gekraakt.
De werkwijze was geraffineerd. Volgens de analyse zetten de aanvallers op maat gemaakte MeshCentral-beheeragents in, vermomd als Microsoft Azure-diensten, deden ze verkenning, pakten ze de gestolen data in en verstuurden ze afpersberichten met geautomatiseerde scripts. Nissan zegt nog in een vroege fase van het onderzoek te zitten en heeft de toegang tot loonadministratie tijdelijk beperkt tot het bedrijfsnetwerk en beveiligde VPN-verbindingen, met extra identiteitscontrole.

Wat Nederlandse organisaties nu moeten doen
Oracle PeopleSoft draait bij veel grote werkgevers, divisies en overheidsorganisaties als HR- en salarissysteem, ook in Nederland. En juist een HR-systeem bewaart de kroonjuwelen: BSN's, salarisstroken, bankrekeningnummers en gegevens van gezinsleden. Wie zo'n systeem draait, heeft maar een prioriteit: controleer of CVE-2026-35273 is gedicht en installeer de beveiligingsupdates van Oracle direct. Schakel waar mogelijk de Environment Management Hub uit, beperk externe toegang tot de PSEMHUB-component en doorzoek je WebLogic-logs op sporen van misbruik.
Daarnaast geldt de meldplicht. Lekken bij een HR-systeem vallen vrijwel zeker onder de AVG, dus een datalek met persoonsgegevens moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld, en mogelijk bij de betrokken medewerkers. Leg nu vast wie dat doet en wat je communiceert, zodat je niet improviseert als het misgaat. Het kabinet werkt zelfs aan een handelingskader voor wat organisaties bij grote datalekken aan slachtoffers moeten communiceren.
De bredere les is dat een lek in een centrale leverancier zich razendsnel over honderden klanten verspreidt. Datzelfde patroon trof eerder LastPass via de supply chain-aanval op leverancier Klue die LastPass-klantgegevens lekte. Tegen dat soort dominostenen helpt geen enkel los foefje, maar een gelaagde basis. Loop daarom de vijf basislagen beveiliging die je als organisatie zelf kunt nalopen na: patchbeleid, toegangsbeperking, segmentatie, monitoring en een geoefend incidentplan.
De kern is simpel en urgent. Dit is geen theoretisch risico maar actief misbruik dat al honderden organisaties heeft geraakt. Draai je Oracle PeopleSoft, behandel het patchen van CVE-2026-35273 dan als iets voor vandaag, niet voor volgende sprint.
Veelgestelde vragen
Beveiliging als ontwerpkeuze
Een lek bij een leverancier verspreidt zich razendsnel naar zijn klanten. Ik help je systemen en koppelingen zo te ontwerpen, bouwen en automatiseren dat patchen, toegangsbeheer en monitoring geen losse brandjes zijn maar standaard ingebakken zitten, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
