A National Association of Insurance Commissioners (NAIC), órgão regulador do sistema de seguros dos EUA, confirmou vazamento de dados após ataque que explorou uma vulnerabilidade zero-day no Oracle PeopleSoft. O grupo ShinyHunters reivindicou o roubo de 3,1 TB de arquivos — mais de 105 mil documentos — incluindo formulários de seguradoras, logs da AWS e dados de configuração.

Resumo: A NAIC sofreu uma invasão por meio de um zero-day do Oracle PeopleSoft, detectada em 11 de junho de 2026 e divulgada em 23 de junho. O grupo ShinyHunters afirma ter extraído 3,1 TB de dados. A NAIC contesta parte da alegação e afirma que apenas relatórios financeiros e dados técnicos foram comprometidos.

Como o ataque funcionou

O ataque à NAIC faz parte de uma campanha mais ampla do ShinyHunters contra organizações que utilizam Oracle PeopleSoft. O grupo identificou e explorou uma vulnerabilidade zero-day no sistema ERP da Oracle antes que a vendor lançasse correção. O PeopleSoft é amplamente utilizado por governos e grandes corporações para gestão de recursos empresariais, incluindo processamento de formulários regulatórios e relatórios financeiros.

A NAIC utiliza o PeopleSoft principalmente para relatórios financeiros internos. O invasor obteve acesso ao sistema e, segundo o grupo, migrou dados de múltiplas plataformas internas, incluindo o SERFF (sistema de arquivamento de taxas e formulários), OPTins, UCAA e a plataforma de dados regulatórios.

Investigação conduzida por firma de cibersegurança contratada pela NAIC concluiu que o escopo real do vazamento é menor do que o reivindicado pelo ShinyHunters. Nenhuma informação pessoalmente identificável, dados de cartão de crédito ou informações de pagamentos foram acessados, segundo o órgão.

O que foi vazado

A tabela abaixo resume a disputa entre as reivindicações do ShinyHunters e a posição oficial da NAIC:

Tipo de dado ShinyHunters afirma NAIC confirma
Formulários de seguradoras Sim Não confirmado
Arquivos de rating de crédito Sim Não confirmado
Logs e configs da AWS Sim Não confirmado
Relatórios financeiros Sim Sim
Dados técnicos de sistemas Sim Sim
Dados PII de usuários Sim Não
Dados de cartão/bancários Sim Não
Dados de policyholders Sim Não

Após a recusa da NAIC em pagar resgate, o ShinyHunters começou a publicar os dados na dark web. A NAIC informou que está comparando os arquivos vazados com seus sistemas para confirmar o escopo exato da exposição.

Linha do tempo do incidente

  • 11 de junho de 2026: A NAIC detecta atividade suspeita em seus sistemas PeopleSoft e aciona resposta a incidentes.
  • 11 a 17 de junho: Investigação interna com apoio de firma de cibersegurança contratada e coordenação com o FBI.
  • 17 de junho: Divulgação inicial do incidente. A NAIC confirma que o ataque explorou um zero-day do PeopleSoft.
  • 23 de junho: A NAIC publica atualização detalhada. ShinyHunters reivindica o ataque e afirma ter roubado 3,1 TB com mais de 105 mil arquivos.
  • 25 de junho: A NAIC confirma que os dados foram publicados online pelo grupo responsável.

Contexto da campanha

Este incidente não é isolado. O ShinyHunters mantém uma campanha ativa contra organizações que utilizam Oracle PeopleSoft, com mais de 100 organizações potencialmente afetadas. Recentemente, o grupo também reivindicou ataques ao Canvas da Instructure, Bumble, Panera Bread e Match Group.

A exploração de zero-days em software ERP empresarial representa uma tendência crescente entre grupos de extorsão de dados. Softwares como PeopleSoft e SAP são alvos atrativos por conterem grandes volumes de dados operacionais e regulatórios centralizados.

O que fazer agora

Organizações que utilizam Oracle PeopleSoft devem:

  1. Aplicar patches imediatos: Verificar se patches de segurança recentes da Oracle para o PeopleSoft foram aplicados. A Oracle publicou correções relacionadas a esta campanha.
  2. Revisar logs de acesso: Auditar logs do PeopleSoft para identificar acessos não autorizados ao endpoint de autoatendimento ou a funcionalidades de upload de arquivos.
  3. Monitorar dark web: Verificar se dados organizacionais apareceram em marketplaces da dark web, especialmente formulários regulatórios e documentos internos.
  4. Restringir exposição: Garantir que instâncias do PeopleSoft não estejam acessíveis diretamente pela internet sem VPN ou autenticação multifator.

Fontes

Insurance Journal — NAIC Victim of Cyber Incident Via PeopleSoft System

TechRadar Pro — NAIC confirms data breach with ShinyHunters claiming 3.1TB

Insurance Business — NAIC confirms PeopleSoft breach

Leia também: ShinyHunters hackeia Oracle PeopleSoft em 100 organizações | Zero-day crítico do PeopleSoft é explorado por ShinyHunters