ShinyHunters reivindica roubo de 297 GB do Conselho da Europa via zero-day no Oracle PeopleSoft

O grupo ShinyHunters afirma ter exfiltrado mais de 297 GB e 429 mil arquivos do Conselho da Europa, em Estrasburgo, explorando o zero-day CVE-2026-35273 no Oracle PeopleSoft. A reivindicação apareceu em painel do grupo em 14 de junho e foi reportada pelo The Register e pelo Computing UK na segunda-feira. O Conselho da Europa, ouvido por The Register, declarou apenas que "investiga o assunto e avalia a situação". A organização não confirmou a brecha publicamente até o fechamento desta matéria.

A CVE-2026-35273 é uma falha de execução remota de código no PeopleSoft Enterprise PeopleTools, com pontuação CVSS 9.8. Não requer autenticação nem interação do usuário, apenas acesso de rede via HTTP. A janela de exploração ocorreu entre 27 de maio e 9 de junho, segundo a Mandiant, que rastreia o grupo de exploração inicial como UNC6240. A Oracle só publicou advisory em 10 de junho, o que manteve a falha como zero-day por mais de duas semanas. Nesta terça-feira (16), o fornecedor liberou patch completo e detalhes técnicos adicionais no boletim trimestral de junho.

A campanha mais ampla por trás do ataque

A reivindicação contra o Conselho da Europa é a peça mais visível de uma campanha que atingiu mais de 100 organizações. Em entrevista ao The Register, o ShinyHunters declarou ter alcançado 300 instâncias do PeopleSoft espalhadas por essas vítimas. Sessenta e oito por cento eram do setor de ensino superior, predominantemente nos Estados Unidos. Entre as vítimas confirmadas até agora está a University of Nottingham, no Reino Unido, que reconheceu o roubo de 40 GB com dados pessoais e financeiros de alunos atuais e antigos.

A natureza dos dados reivindicados no caso do Conselho da Europa eleva o risco. Segundo o painel do grupo, os arquivos incluem mais de 409 mil holerites de cerca de 10 mil funcionários, registros de RH, ordens de compra, currículos, dados bancários, fiscais e médicos. Se a reivindicação se confirmar, o vazamento atinge a base de servidores do principal órgão do continente para direitos humanos, com sede em Estrasburgo e mandato sobre 46 países membros.

A lacuna que abriu a janela

A análise da Mandiant aponta que o exploit do ShinyHunters depende de um classpath aberto no PeopleTools, que permitiu deserialização de objetos Java arbitrários. A combinação resultou em RCE com privilégio do usuário do aplicativo, sem necessidade de credencial. Para CISOs, o problema é estrutural. O PeopleSoft segue como ERP central de folha, RH e finanças em centenas de instituições públicas e privadas, e cada implantação tende a ficar acoplada a customizações com ciclo de patch lento. A Oracle Cloud Infrastructure não estava exposta, mas a base on-premises e em datacenters terceirizados sim.

A US Cybersecurity and Infrastructure Security Agency incluiu a CVE-2026-35273 no Known Exploited Vulnerabilities Catalog e fixou em 29 de junho o prazo para agências federais americanas remediarem. Na União Europeia, a ENISA emitiu alerta paralelo. Para empresas brasileiras, a fragilidade é dupla: Petrobras, Banco do Brasil e parte do sistema universitário federal operam PeopleSoft, e o ciclo de manutenção depende de janela de mudança trimestral. Sem revisão imediata de configuração e segmentação de rede para o servidor de aplicação, o vetor segue aberto mesmo após o patch ser aplicado, segundo nota técnica da CSO Online.

O que o caso muda no contrato de risco

A pressão sobre fornecedores de ERP legados ganha dimensão regulatória. O Conselho da Europa, se confirmar o incidente, terá de notificar autoridades nacionais de proteção de dados em 46 jurisdições. Para o time jurídico de bancos americanos e europeus que usam PeopleSoft, o caso reabre cláusulas de cibersegurança em contratos com a Oracle, em especial as que tratam de janela de divulgação de zero-day. A diferença entre 27 de maio, quando a Mandiant identificou exploração, e 10 de junho, quando saiu o advisory, é exatamente o tipo de gap que CFOs e CISOs vêm tentando precificar nos últimos dois trimestres.

A ShinyHunters opera sob modelo de extorsão sem ransomware: rouba, ameaça publicar, negocia. O grupo deu prazo até esta terça-feira (16) para o Conselho da Europa pagar. Não há, até agora, evidência pública de publicação dos arquivos. A Oracle não havia comentado a tentativa de extorsão contra o Conselho da Europa até o fechamento desta matéria.