Nissan Americas ha depositato il 25 giugno 2026 la notifica di violazione presso la Procura Generale della California. L'azienda ha confermato che attaccanti hanno sfruttato una vulnerabilità zero-day in Oracle PeopleSoft PeopleTools per sottrarre dati personali e finanziari della forza lavoro. La finestra di attacco, compresa tra il 27 maggio e il 9 giugno, è stata convalidata dall'analisi tecnica di Mandiant. In quei quattordici giorni i criminali hanno avuto accesso a registrazioni fiscali, coordinate bancarie e numeri previdenziali di dipendenti e ex dipendenti negli Stati Uniti, Canada, Messico e Brasile.
L'analisi si basa su fonti editoriali convergenti; non è disponibile un advisory Oracle diretto o alert CISA.
- CVE-2026-35273 è una vulnerabilità critica in Oracle PeopleSoft PeopleTools che consente esecuzione remota di codice non autenticata.
- Il gruppo ShinyHunters ha rivendicato la compromissione di oltre 300 istanze in più di 100 organizzazioni, con Nissan come obiettivo specifico.
- Nissan ha limitato l'accesso ai cedolini a rete aziendale e VPN, aggiunto verifica identitaria per richieste payroll, e offerto monitoraggio del dark web e protezione creditizia.
- Oracle ha rilasciato misure di mitigazione d'emergenza il 10 giugno 2026, dopo l'inizio delle compromissioni.
Il meccanismo d'attacco: dalla falla PeopleSoft all'accesso HR
Secondo l'analisi di Rescana, la vulnerabilità risiede nel componente Updates Environment Management di Oracle PeopleSoft PeopleTools. Il meccanismo consente a un attaccante non autenticato di ottenere esecuzione remota di codice attraverso gli endpoint /PSEMHUB/* e /PSIGW/HttpListeningConnector. Rescana segnala che questi dettagli tecnici possono includere elementi inferiti non verificati indipendentemente.
Una volta stabilito l'accesso iniziale, gli attaccanti hanno installato agenti MeshCentral mascherati da servizi Microsoft Azure per garantire persistenza. Secondo Rescana, nella documentazione pubblica non risulta malware personalizzato identificato: la persistenza si è appoggiata su strumenti di amministrazione remota legittimi, riconfigurati per scopi offensivi.
La mappa MITRE ATT&CK e i limiti della ricostruzione
L'analisi di Rescana fornisce una mappatura MITRE ATT&CK che colloca l'operazione in una cornice di attacco alla catena di fornitura enterprise: accesso iniziale tramite exploit di vulnerabilità, esecuzione di codice remoto, stabilizzazione della presenza tramite tool di accesso remoto legittimo, e successiva esfiltrazione di dati da database HR e payroll.
La fonte non specifica se gli attaccanti abbiano ottenuto movimento laterale oltre il perimetro PeopleSoft. Il numero esatto di dipendenti Nissan coinvolti non è stato divulgato. Non sono documentati indicatori di compromissione specifici come indirizzi IP, domini o hash di file.
Nissan: notifica e misure reattive
Nella comunicazione alla Procura Generale della California, citata da BleepingComputer, Nissan ha riconosciuto di essere stato "specifically targeted in this attack". La notifica elenca le categorie di dati compromessi: informazioni di contatto, coordinate bancarie, numeri previdenziali statunitensi (SSN), numeri assicurativi canadesi (SIN), numeri di identificazione nazionali, registrazioni fiscali e finanziarie, dati di dipendenti e beneficiari.
Nissan ha limitato l'accesso ai cedolini alla rete aziendale e alla VPN. Ha introdotto verifica identitaria per le richieste di modifica dati retributivi. Offre servizi di monitoraggio del dark web e protezione creditizia. The Register ha evidenziato come queste misure, sebbene necessarie, intervengano dopo l'esfiltrazione dei dati.
"Patching the flaw does nothing for data already taken during the exploitation window" — Simon Pamplin, CTO at Certes, in Infosecurity Magazine
L'ecosistema delle vittime e il ruolo di ShinyHunters
ShinyHunters ha rivendicato la compromissione di oltre 300 istanze PeopleSoft in più di 100 organizzazioni. Secondo BleepingComputer, che ha confermato l'analisi Mandiant, il gruppo ha dichiarato che la maggior parte delle vittime sarebbero istituti universitari. Nissan risulta tra gli obiettivi aziendali confermati.
Mandiant ha notificato oltre 100 organizzazioni. Oracle ha rilasciato misure di mitigazione d'emergenza il 10 giugno 2026. Non è chiaro dalle fonti se l'indagine di Nissan sia conclusa o in corso.
Cosa fare adesso
Le organizzazioni con istanze Oracle PeopleSoft PeopleTools esposte devono verificare l'applicazione delle mitigazioni Oracle del 10 giugno 2026. Devono controllare i log di accesso agli endpoint /PSEMHUB/* e /PSIGW/HttpListeningConnector per il periodo 27 maggio-9 giugno 2026. Devono inoltre ricercare agenti MeshCentral mascherati da servizi Azure come indicatore di persistenza.
I dipendenti Nissan nei quattro Paesi coinvolti devono attivare il monitoraggio del dark web e la protezione creditizia offerti dall'azienda. Devono contestare tempestivamente movimenti sospetti su conti bancari e segnalare utilizzi fraudolenti di numeri previdenziali alle autorità competenti. La verifica identitaria per richieste payroll è ora obbligatoria presso Nissan: i dipendenti devono rifiutare modifiche retributive non richieste che non seguano questo canale.
Chiusura editoriale
Il caso Nissan illustra la vulnerabilità strutturale delle piattaforme HR enterprise quando diventano vettori di attacco. La delegazione delle funzioni payroll a vendor software non elimina la responsabilità del dato finale. L'assenza di un advisory Oracle diretto e di un alert CISA lascia le organizzazioni a interpretare segnali da fonti editoriali e analisi di terze parti.
Il dato certo è che dati previdenziali e bancari di dipendenti in quattro Paesi sono stati esposti per quattordici giorni prima di qualsiasi mitigazione. Le conseguenze di questo intervallo dipendono da fattori non quantificabili: il volume esatto dei dati, la rapidità di monetizzazione da parte di ShinyHunters, la efficacia delle misure di monitoraggio post-breach. Quello che resta misurabile è il ritardo sistemico tra compromissione tecnica e disclosure pubblica, un ritardo che il 25 giugno 2026 ha trovato Nissan a depositare notifiche, non a prevenire danni.
Fonti: Infosecurity Magazine; The Register; BleepingComputer; Rescana; Security Boulevard
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.infosecurity-magazine.com/news/nissan-oracle-peoplesoft-zero-day/
- https://www.theregister.com/security/2026/06/29/nissan-says-oracle-peoplesoft-break-in-may-have-spilled-payroll-records-ssns/5263534
- https://www.bleepingcomputer.com/news/security/nissan-discloses-employee-data-breach-linked-to-oracle-zero-day-attacks/
- https://www.rescana.com/post/nissan-americas-employee-data-breach-analysis-oracle-peoplesoft-zero-day-cve-2026-35273-exploitation-and-supply-chain-ri
- https://securityboulevard.com/2026/06/nissan-discloses-employee-data-breach-linked-to-oracle-zero-day-attacks/
- https://www.bleepingcomputer.com/
- https://www.bleepingcomputer.com/tutorials/
- https://www.bleepingcomputer.com/download/
- https://deals.bleepingcomputer.com/
- https://www.bleepingcomputer.com/vpn/