A National Association of Insurance Commissioners (NAIC), órgão regulador do sistema de seguros dos EUA, confirmou vazamento de dados após ataque que explorou uma vulnerabilidade zero-day no Oracle PeopleSoft. O grupo ShinyHunters reivindicou o roubo de 3,1 TB de arquivos — mais de 105 mil documentos — incluindo formulários de seguradoras, logs da AWS e dados de configuração.
Resumo: A NAIC sofreu uma invasão por meio de um zero-day do Oracle PeopleSoft, detectada em 11 de junho de 2026 e divulgada em 23 de junho. O grupo ShinyHunters afirma ter extraído 3,1 TB de dados. A NAIC contesta parte da alegação e afirma que apenas relatórios financeiros e dados técnicos foram comprometidos.
Como o ataque funcionou
O ataque à NAIC faz parte de uma campanha mais ampla do ShinyHunters contra organizações que utilizam Oracle PeopleSoft. O grupo identificou e explorou uma vulnerabilidade zero-day no sistema ERP da Oracle antes que a vendor lançasse correção. O PeopleSoft é amplamente utilizado por governos e grandes corporações para gestão de recursos empresariais, incluindo processamento de formulários regulatórios e relatórios financeiros.
A NAIC utiliza o PeopleSoft principalmente para relatórios financeiros internos. O invasor obteve acesso ao sistema e, segundo o grupo, migrou dados de múltiplas plataformas internas, incluindo o SERFF (sistema de arquivamento de taxas e formulários), OPTins, UCAA e a plataforma de dados regulatórios.
Investigação conduzida por firma de cibersegurança contratada pela NAIC concluiu que o escopo real do vazamento é menor do que o reivindicado pelo ShinyHunters. Nenhuma informação pessoalmente identificável, dados de cartão de crédito ou informações de pagamentos foram acessados, segundo o órgão.
O que foi vazado
A tabela abaixo resume a disputa entre as reivindicações do ShinyHunters e a posição oficial da NAIC:
| Tipo de dado | ShinyHunters afirma | NAIC confirma |
|---|---|---|
| Formulários de seguradoras | Sim | Não confirmado |
| Arquivos de rating de crédito | Sim | Não confirmado |
| Logs e configs da AWS | Sim | Não confirmado |
| Relatórios financeiros | Sim | Sim |
| Dados técnicos de sistemas | Sim | Sim |
| Dados PII de usuários | Sim | Não |
| Dados de cartão/bancários | Sim | Não |
| Dados de policyholders | Sim | Não |
Após a recusa da NAIC em pagar resgate, o ShinyHunters começou a publicar os dados na dark web. A NAIC informou que está comparando os arquivos vazados com seus sistemas para confirmar o escopo exato da exposição.
Linha do tempo do incidente
- 11 de junho de 2026: A NAIC detecta atividade suspeita em seus sistemas PeopleSoft e aciona resposta a incidentes.
- 11 a 17 de junho: Investigação interna com apoio de firma de cibersegurança contratada e coordenação com o FBI.
- 17 de junho: Divulgação inicial do incidente. A NAIC confirma que o ataque explorou um zero-day do PeopleSoft.
- 23 de junho: A NAIC publica atualização detalhada. ShinyHunters reivindica o ataque e afirma ter roubado 3,1 TB com mais de 105 mil arquivos.
- 25 de junho: A NAIC confirma que os dados foram publicados online pelo grupo responsável.
Contexto da campanha
Este incidente não é isolado. O ShinyHunters mantém uma campanha ativa contra organizações que utilizam Oracle PeopleSoft, com mais de 100 organizações potencialmente afetadas. Recentemente, o grupo também reivindicou ataques ao Canvas da Instructure, Bumble, Panera Bread e Match Group.
A exploração de zero-days em software ERP empresarial representa uma tendência crescente entre grupos de extorsão de dados. Softwares como PeopleSoft e SAP são alvos atrativos por conterem grandes volumes de dados operacionais e regulatórios centralizados.
O que fazer agora
Organizações que utilizam Oracle PeopleSoft devem:
- Aplicar patches imediatos: Verificar se patches de segurança recentes da Oracle para o PeopleSoft foram aplicados. A Oracle publicou correções relacionadas a esta campanha.
- Revisar logs de acesso: Auditar logs do PeopleSoft para identificar acessos não autorizados ao endpoint de autoatendimento ou a funcionalidades de upload de arquivos.
- Monitorar dark web: Verificar se dados organizacionais apareceram em marketplaces da dark web, especialmente formulários regulatórios e documentos internos.
- Restringir exposição: Garantir que instâncias do PeopleSoft não estejam acessíveis diretamente pela internet sem VPN ou autenticação multifator.
Fontes
Insurance Journal — NAIC Victim of Cyber Incident Via PeopleSoft System
TechRadar Pro — NAIC confirms data breach with ShinyHunters claiming 3.1TB
Insurance Business — NAIC confirms PeopleSoft breach
Leia também: ShinyHunters hackeia Oracle PeopleSoft em 100 organizações | Zero-day crítico do PeopleSoft é explorado por ShinyHunters