Nissan, mevcut ve eski çalışanlarına ait Sosyal Güvenlik numaraları, banka hesap detayları ve vergi kayıtları gibi hassas kişisel verilerin, Oracle'ın PeopleSoft yazılımındaki sıfırıncı gün (zero-day) açığından yararlanan saldırganlar tarafından çalınmış olabileceğini duyurdu. Otomobil üreticisi, 26 Haziran'da yayımladığı ihlal bildiriminde, Oracle'ın kendisini yüzlerce şirketi etkileyen bir siber olay konusunda uyardığını ve Nissan'ın özel olarak hedef alındığını belirtti. İhlalin ABD, Kanada, Meksika ve Brezilya'daki mevcut ve eski çalışanları etkilediği, ulusal kimlik numaraları, bağımlı kişi veya lehtar bilgileri gibi verilerin açığa çıktığı düşünülüyor.
Nissan, saldırının giriş noktasını Oracle PeopleSoft'taki bilinmeyen bir güvenlik açığı olarak tanımladı. CVE-2026-35273 olarak izlenen bu açık, kritik seviyede bir uzaktan kod yürütme hatası olup, saldırganlar tarafından sıfırıncı gün olarak kullanıldı. Daha geniş kampanyanın, 100'den fazla kuruluşu (çoğunluğu üniversiteler) hedef aldığını iddia eden ShinyHunters fidye grubuyla bağlantılı olduğu belirtiliyor. Oracle, saldırılar başladıktan sonra olağan dışı bir uyarı ve geçici çözüm yayınladı. Nissan'ın dosyası, ihlali 27 Mayıs ile 9 Haziran arasına, yani kampanyanın sürdüğü pencereye tarihlendirdi. Şimdiye kadar adı geçen kurbanların çoğu üniversiteler olurken, Nissan bu kampanyada yakalanan büyük kurumsal isimlerden biri oldu.
Nissan, Sosyal Güvenlik ve ulusal kimlik numaralarının yanı sıra, ifşa olan bilgilerin iletişim ve banka detayları, finansal ve vergi verileri ile bağımlı kişi veya lehtar kayıtlarını da içerebileceğini açıkladı. Şirket, sistemlerini güvence altına aldığını, Oracle ile çalıştığını ve etkilenen çalışanlara ücretsiz kredi veya karanlık ağ izleme hizmeti sunacağını belirtti. Önlem olarak Nissan, bordro erişimini kısıtladı; çalışanların maaş bordrolarını görüntülemek veya doğrudan yatırım detaylarını değiştirmek için bir ağ bilgisayarı veya güvenli VPN kullanması gerekiyor. Ayrıca bordro taleplerini işleme koymadan önce ek kimlik kontrolleri yapılıyor. Şirket, çalışanlarına kimlik avı saldırılarına karşı dikkatli olmaları, tekrar kullanılan şifreleri değiştirmeleri ve çok faktörlü kimlik doğrulamayı etkinleştirmeleri çağrısında bulundu.
Veri güvenliği firması Certes'in CTO'su Simon Pamplin, bu durumu 'yüzlerce ilgisiz kuruluşu etkileyen kitlesel bir kayıp olayı' olarak nitelendirdi ve açığın kapatılmasının, sömürü penceresi sırasında zaten alınmış veriler için bir şey yapmayacağı uyarısında bulundu. Nissan soruşturmasının devam ettiğini ve etkilenen kişilerle doğrudan iletişime geçileceğini söyledi. Bu olay, kurumsal yazılımlardaki sıfırıncı gün açıklarının zincirleme etkisini ve şirketlerin tedarik zinciri güvenliğine ne kadar bağımlı olduğunu bir kez daha gözler önüne seriyor.