Skip to content
Fuite de donnéesContenu

Nissan Americas divulgue une fuite de données d'employés via une faille zero-day d'Oracle PeopleSoft

Les activités de Nissan sur le continent américain ont révélé que des attaquants exploitant une faille zero-day d'Oracle PeopleSoft avaient accédé à des données sensibles d'employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil.

Victime
Nissan Americas

Le 29 juin 2026, des informations ont confirmé que Nissan Americas — les activités du constructeur automobile japonais pour l'Amérique du Nord, centrale et du Sud, dont le siège se trouve à Franklin (Tennessee) — avait subi une fuite de données touchant des employés actuels et anciens après que des attaquants ont exploité une faille zero-day d'Oracle PeopleSoft. Nissan a commencé à notifier les personnes concernées fin juin, les informant qu'un tiers non autorisé avait pu accéder à un volume important de données de personnel sensibles.

L'intrusion est liée à CVE-2026-35273, une faille zero-day critique d'Oracle PeopleSoft PeopleTools qui a été exploitée dans la nature entre le 27 mai et le 9 juin 2026 environ — avant qu'Oracle ne publie un correctif hors cycle. Mandiant, filiale de Google, attribue la campagne d'exploitation de PeopleSoft au groupe de vol de données et d'extorsion ShinyHunters, suivi sous le nom d'UNC6240, qui aurait compromis plus de 100 organisations et des centaines d'instances PeopleSoft exposées sur Internet au cours de la campagne.

Ce qui a été exposé

Selon les notifications de Nissan, les données susceptibles d'avoir été consultées comprennent les coordonnées, informations et numéros de comptes bancaires, numéros de sécurité sociale (ou numéros d'assurance sociale et autres identifiants nationaux), données financières et fiscales, ainsi que les informations relatives aux personnes à charge et bénéficiaires. Nissan indique que l'exposition a touché des employés actuels et anciens dans ses activités aux États-Unis, au Canada, au Mexique et au Brésil. L'entreprise n'a pas publié de nombre total de personnes concernées.

Réponse

Nissan indique avoir pris des mesures pour sécuriser les systèmes touchés, fait appel à des spécialistes externes en cybersécurité pour enquêter, et travaille avec Oracle à la suite de la divulgation de la vulnérabilité. L'entreprise offre aux employés concernés une surveillance gratuite du crédit et du dark web et a notifié les régulateurs concernés, notamment en déposant des avis de fuite auprès des autorités d'États américains.

Pourquoi c'est important

La divulgation de Nissan montre comment une seule faille zero-day dans un logiciel d'entreprise peut se répercuter en notifications de fuite chez certaines des plus grandes sociétés du monde. PeopleSoft sous-tend les fonctions de paie et de ressources humaines d'une vaste base de grands employeurs ; sa compromission expose précisément les données personnelles et financières concentrées — numéros de sécurité sociale, comptes bancaires, dossiers fiscaux — que les groupes d'extorsion peuvent monnayer. Pour les salariés de Nissan, la fuite entraîne un risque durable de vol d'identité et de fraude qui persiste bien après la correction des systèmes vulnérables.

Chronologie

  1. Première exploitation observée de la faille zero-day d'Oracle PeopleSoft (CVE-2026-35273) contre des déploiements exposés sur Internet, selon Mandiant.

  2. L'activité d'exploitation contre les instances PeopleSoft se poursuit jusqu'à cette date avant la publication de l'avis d'Oracle.

  3. Nissan commence à envoyer des lettres de notification aux employés concernés.

  4. Des informations publiques détaillent la fuite de données d'employés de Nissan Americas et son lien avec la faille zero-day de PeopleSoft.

Sources

  1. theregister.comhttps://www.theregister.com/security/2026/06/29/nissan-says-oracle-peoplesoft-break-in-may-have-spilled-payroll-records-ssns/5263534
  2. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/nissan-oracle-peoplesoft-zero-day/
  3. govinfosecurity.comhttps://www.govinfosecurity.com/nissan-traces-data-breach-to-peoplesoft-zero-day-exploit-a-32113
  4. cyberdaily.auhttps://www.cyberdaily.au/security/13825-hacked-automotive-giant-nissan-discloses-multi-country-data-breach

Incidents liés

Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M
Fuite de donnéesEn cours

ShinyHunters revendique le vol de 297 Go de données de paie et RH du Conseil de l'Europe via une faille zero-day Oracle PeopleSoft

Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.

Victim
Council of Europe
Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victim
National Association of Insurance Commissioners (NAIC)