Rij elektronische apparatuur in een donkere serverruimte
Nieuws30 juni · 00:476 min leestijd

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Autofabrikant Nissan heeft een datalek gemeld nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten en daarbij gevoelige personeelsgegevens buitmaakten. Het gaat om huidige en voormalige werknemers in de Verenigde Staten, Canada, Mexico en Brazilie. De buitgemaakte data is precies het soort dat je niet wilt verliezen: contactgegevens, bankgegevens, sofinummers en andere nationale identificatienummers, financiele en fiscale gegevens, en informatie over gezinsleden en begunstigden.

Het lek zit in Oracle PeopleSoft Enterprise PeopleTools en heeft kenmerk CVE-2026-35273. Het is een kwetsbaarheid in de Environment Management-component waarmee een aanvaller op afstand code kan uitvoeren. De ernst is maximaal: de fout krijgt een CVSS-score van 9,8 en vereist geen authenticatie, geen gebruikersinteractie en werkt over gewoon HTTP. Met andere woorden, een blootgesteld systeem is vanaf het open internet aan te vallen zonder dat iemand iets fout hoeft te doen.

Een aanval die honderden organisaties trof

Nissan staat niet alleen. Securitybedrijf Mandiant bevestigde dat het lek tussen 27 mei en 9 juni 2026 actief is misbruikt en waarschuwde meer dan honderd organisaties. De afpersgroep ShinyHunters, door onderzoekers gevolgd als UNC6240, claimt zo'n 300 PeopleSoft-systemen bij ruim honderd organisaties te hebben gekraakt.

De werkwijze was geraffineerd. Volgens de analyse zetten de aanvallers op maat gemaakte MeshCentral-beheeragents in, vermomd als Microsoft Azure-diensten, deden ze verkenning, pakten ze de gestolen data in en verstuurden ze afpersberichten met geautomatiseerde scripts. Nissan zegt nog in een vroege fase van het onderzoek te zitten en heeft de toegang tot loonadministratie tijdelijk beperkt tot het bedrijfsnetwerk en beveiligde VPN-verbindingen, met extra identiteitscontrole.

Het Nissan-woordmerk. Bij Nissan zijn personeelsgegevens buitgemaakt via een lek in Oracle PeopleSoft. Bron: Nissan / Wikimedia Commons (publiek domein)
Het Nissan-woordmerk. Bij Nissan zijn personeelsgegevens buitgemaakt via een lek in Oracle PeopleSoft. Bron: Nissan / Wikimedia Commons (publiek domein)

Wat Nederlandse organisaties nu moeten doen

Oracle PeopleSoft draait bij veel grote werkgevers, divisies en overheidsorganisaties als HR- en salarissysteem, ook in Nederland. En juist een HR-systeem bewaart de kroonjuwelen: BSN's, salarisstroken, bankrekeningnummers en gegevens van gezinsleden. Wie zo'n systeem draait, heeft maar een prioriteit: controleer of CVE-2026-35273 is gedicht en installeer de beveiligingsupdates van Oracle direct. Schakel waar mogelijk de Environment Management Hub uit, beperk externe toegang tot de PSEMHUB-component en doorzoek je WebLogic-logs op sporen van misbruik.

Daarnaast geldt de meldplicht. Lekken bij een HR-systeem vallen vrijwel zeker onder de AVG, dus een datalek met persoonsgegevens moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld, en mogelijk bij de betrokken medewerkers. Leg nu vast wie dat doet en wat je communiceert, zodat je niet improviseert als het misgaat. Het kabinet werkt zelfs aan een handelingskader voor wat organisaties bij grote datalekken aan slachtoffers moeten communiceren.

De bredere les is dat een lek in een centrale leverancier zich razendsnel over honderden klanten verspreidt. Datzelfde patroon trof eerder LastPass via de supply chain-aanval op leverancier Klue die LastPass-klantgegevens lekte. Tegen dat soort dominostenen helpt geen enkel los foefje, maar een gelaagde basis. Loop daarom de vijf basislagen beveiliging die je als organisatie zelf kunt nalopen na: patchbeleid, toegangsbeperking, segmentatie, monitoring en een geoefend incidentplan.

De kern is simpel en urgent. Dit is geen theoretisch risico maar actief misbruik dat al honderden organisaties heeft geraakt. Draai je Oracle PeopleSoft, behandel het patchen van CVE-2026-35273 dan als iets voor vandaag, niet voor volgende sprint.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Beveiliging als ontwerpkeuze

Een lek bij een leverancier verspreidt zich razendsnel naar zijn klanten. Ik help je systemen en koppelingen zo te ontwerpen, bouwen en automatiseren dat patchen, toegangsbeheer en monitoring geen losse brandjes zijn maar standaard ingebakken zitten, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan
Nieuws
4 min

6 jul 20:11

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan

Solvinity, het bedrijf achter DigiD, vecht in een kort geding het verbod aan waarmee de staat zijn overname door het Amerikaanse Kyndryl blokkeerde. De zaak toont hoe eigenaarschap van digitale infrastructuur een veiligheidskwestie is geworden.

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen
Nieuws
5 min

4 jul 06:11

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen

Bij Medtronic, maker van pacemakers en insulinepompen, zijn de gegevens van ruim 3,8 miljoen mensen gelekt na een inbraak in de eigen bedrijfssystemen. Een scherpe casus over het risico van je leverancier.

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn
Nieuws
4 min

25 jun 12:54

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn

Bij leerplatform Canvas, gebruikt door veel Nederlandse onderwijsinstellingen en trainingsbedrijven, zijn gegevens buitgemaakt door crimineel collectief ShinyHunters. Onderwijsminister Letschert laat weten dat nog onbekend is hoeveel Nederlandse studenten zijn getroffen.

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue
Nieuws
5 min

23 jun 12:27

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue

Aanvallers compromitteerden Klue, een tool die LastPass koppelde aan Salesforce, en stalen zo namen, e-mailadressen en adressen van klanten. De wachtwoordkluizen bleven veilig, maar de phishingkans neemt toe.

Het geheugen werd de flessenhals van AI, en de prijs ligt nu vast tot 2030
Signaal
7 min

11 jul 02:43

Het geheugen werd de flessenhals van AI, en de prijs ligt nu vast tot 2030

Niet de GPU maar het geheugen werd de flessenhals van AI. SK Hynix, Micron en Samsung zetten de HBM-prijs vast tot 2030, binnen een westers blok. En een Amerikaanse rechter vraagt of die schaarste deels gemaakt is.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.