O Google confirmou um dos ataques corporativos mais sérios do ano: o grupo de extorsão conhecido como ShinyHunters explorou uma falha crítica no Oracle PeopleSoft como zero-day, ou seja, antes de qualquer correção estar disponível. A campanha atingiu mais de 100 organizações em todo o mundo, e chama atenção o perfil das vítimas — cerca de 68% são instituições de ensino superior, que costumam concentrar enormes bases de dados de alunos e funcionários em sistemas como o PeopleSoft.
A brecha foi catalogada como CVE-2026-35273 e recebeu nota de gravidade 9,8 de 10, praticamente o teto da escala. Ela se localiza no componente Environment Management Hub (PSEMHUB) e afeta as versões 8.61 e 8.62 do PeopleTools. O problema é especialmente perigoso porque permite a execução remota de comandos sem autenticação: basta que o servidor esteja exposto à internet para que um invasor consiga rodar código no ambiente, sem precisar de senha ou login válido.
De acordo com a análise do Google, os criminosos agiram entre 27 de maio e 9 de junho de 2026 e tentaram se camuflar. Eles usaram ferramentas de controle remoto disfarçadas de serviços legítimos da Microsoft — recorrendo a um domínio que imitava o Azure — e executaram scripts personalizados para se espalhar lateralmente pelas redes invadidas, reaproveitando credenciais já comprometidas. Esse tipo de movimentação silenciosa é o que costuma transformar uma única brecha em um vazamento de grandes proporções.
Os efeitos já apareceram. A Universidade de Nottingham, no Reino Unido, teve cerca de 455 mil registros expostos, incluindo nomes, endereços, telefones, números de passaporte e até informações sobre etnia e deficiência. O caso é um lembrete duro de que falhas em sistemas administrativos corporativos — muitas vezes invisíveis ao usuário comum — guardam dados extremamente sensíveis. Para organizações que rodam o PeopleSoft, a orientação é aplicar os patches disponibilizados pela Oracle com urgência e revisar acessos e credenciais, já que a exploração ocorreu antes mesmo da correção existir.
