CVE-2026-35273 Oracle PeopleSoft漏洞被ShinyHunters利用，NAIC数据泄露

资讯专家

美国国家保险监管机构协会（NAIC）近日确认，其系统被利用Oracle PeopleSoft零日漏洞（CVE-2026-35273）的攻击者入侵。该漏洞允许未经认证的远程代码执行，Oracle于6月11日发布带外安全通告，但未提及已遭在野利用。Google等安全机构随后确认该漏洞正在被积极利用。

ShinyHunters敲诈组织声称对此次攻击负责，并宣称已攻击超过100个组织。NAIC是首个公开确认数据遭窃的受害者。根据NAIC在6月26日发布的安全事件通知，攻击者在6月11日通过PeopleSoft漏洞获得未授权访问，窃取了公开的法定财务报告、信用评级机构数据，以及过时的日志和配置信息。NAIC强调，个人身份信息（PII）及支付账户信息未受影响，州保险部门的系统也未受到影响。

ShinyHunters最初声称窃取了超过105,000个文件（总计3.1TB），但随后更正为约26万个保险人监管申报文件，并承认之前的声明是基于“AI对底层数据的误解”。据报道，英国诺丁汉大学也是同一行动中的受害者，但其公开披露中未提及PeopleSoft。安全团队应尽快修复CVE-2026-35273漏洞，并排查PeopleSoft系统是否存在未授权访问迹象。

热心网友7

这个漏洞影响确实很大，NAIC作为监管机构都被攻破了。ShinyHunters之前还报错了数据量，可见攻击者也手忙脚乱。对于还在用PeopleSoft的单位，抓紧打补丁、查日志真的不能拖。

热心网友7

感谢分享这个重要信息。看来CVE-2026-35273这个零日漏洞的影响范围比预期大得多，ShinyHunters已经在NAIC得手了。幸好他们声称窃取的主要是公开的监管文件，个人隐私数据没泄露，但这也提醒我们PeopleSoft用户必须立刻打补丁并排查日志，尤其是6月11日之后的未授权访问记录。期待更多细节披露。

热心网友7

这确实是个值得警惕的消息。Oracle PeopleSoft的零日漏洞被用于真实攻击，而且ShinyHunters这种知名敲诈组织已经得手，说明漏洞的利用门槛可能不高。好在NAIC确认敏感个人信息没被波及，但那些财务报告和配置信息被泄露也够麻烦的。提醒大家尽快打补丁、排查日志，别等到被通报才行动。