Nissan เปิดเผยเหตุการณ์ข้อมูลพนักงานรั่วไหล ซึ่งเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day ของ Oracle

Nissan ออกประกาศแจ้งเตือนว่าบริษัทประสบเหตุการณ์ข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงาน หลังจากผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ของ Oracle PeopleSoft ในการโจมตีเพื่อขโมยข้อมูล ซึ่งก่อนหน้านี้พบว่ามีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ ShinyHunters

ในเอกสารแจ้งเหตุการณ์ข้อมูลรั่วไหลที่ Nissan ยื่นต่อสำนักงานอัยการรัฐแคลิฟอร์เนีย มีการระบุ (โดยอ้างอิงข้อมูลจาก Oracle) ว่า การโจมตีเพื่อขโมยข้อมูลเหล่านี้ส่งผลกระทบต่อบริษัทหลายร้อยแห่ง และ Nissan ตกเป็นเป้าหมายในแคมเปญการโจมตีครั้งนี้

"Nissan Americas ใช้ซอฟต์แวร์ Oracle PeopleSoft ในการจัดการข้อมูลพนักงาน ซึ่งรวมถึงบัญชีเงินเดือน, การจัดการด้านภาษี และบันทึกข้อมูลบุคลากรอื่น ๆ"

"Oracle ได้แจ้งให้เราทราบว่ามีเหตุการณ์ทางไซเบอร์เกิดขึ้น และบันทึกข้อมูลบุคลากรของบริษัทหลายร้อยแห่งอาจถูกดึงไปโดยกลุ่มผู้ไม่หวังดีทางไซเบอร์ ซึ่งต่อมาเราได้ทราบว่า Nissan ตกเป็นเป้าหมายในการโจมตีครั้งนี้ด้วย"

Nissan ระบุว่า ขณะนี้การสืบสวนยังคงอยู่ในช่วงเริ่มต้น และยังไม่สามารถระบุผลกระทบทั้งหมดจากเหตุการณ์ข้อมูลรั่วไหลได้ แต่เชื่อว่าผู้โจมตีได้เข้าถึงข้อมูลส่วนบุคคล ซึ่งอาจรวมถึง ข้อมูลการติดต่อของพนักงาน, ข้อมูลทางธนาคาร, หมายเลขประกันสังคม, หมายเลขประกันภัยสังคม, หมายเลขประจำตัวประชาชน, ข้อมูลทางการเงินและภาษี ตลอดจนข้อมูลของผู้ที่อยู่ในความอุปการะ และผู้รับผลประโยชน์

เชื่อว่าเหตุการณ์นี้ส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงานของ Nissan ในสหรัฐอเมริกา, แคนาดา, เม็กซิโก และบราซิล

Nissan ระบุว่า บริษัทได้เริ่มใช้มาตรการตอบสนองต่อเหตุการณ์ทันทีหลังจากทราบว่าประสบเหตุการณ์ข้อมูลรั่วไหล โดยได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก รักษาความปลอดภัยให้กับระบบที่ได้รับผลกระทบ และกำลังทำงานร่วมกับ Oracle เพื่อแก้ไขปัญหาดังกล่าว

บริษัทยังระบุด้วยว่าได้ดำเนินการเพื่อยุติการเข้าถึงที่ไม่ได้รับอนุญาต และป้องกันไม่ให้ข้อมูลของพนักงานถูกเปิดเผยไปมากกว่านี้ อีกทั้งจะเสนอบริการตรวจสอบเครดิต และตรวจสอบ Dark web ให้กับบุคคลที่ได้รับผลกระทบโดยไม่เสียค่าใช้จ่าย

เพื่อเป็นมาตรการป้องกันเพิ่มเติม Nissan ระบุว่า บริษัทกำลังจำกัดการเข้าถึงสลิปเงินเดือนของพนักงาน และการเปลี่ยนแปลงการโอนเงินเข้าบัญชีโดยตรง ให้สามารถทำได้เฉพาะบนคอมพิวเตอร์ในเครือข่ายของบริษัท หรือผ่านการเชื่อมต่อ VPN ที่ปลอดภัยเท่านั้น ในระหว่างที่กำลังดำเนินการเพิ่มมาตรการการยืนยันตัวตนก่อนที่จะประมวลผลคำขอต่าง ๆ ที่เกี่ยวข้องกับบัญชีเงินเดือน

ทางผู้ผลิตรถยนต์ระบุว่า พนักงานที่ได้รับการยืนยันในท้ายที่สุดว่าข้อมูลถูกเปิดเผย จะได้รับการแจ้งเตือนเพิ่มเติมซึ่งระบุรายละเอียดว่ามีข้อมูลใดบ้างที่ได้รับผลกระทบ

ความเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day บน PeopleSoft โดยกลุ่ม ShinyHunters

เชื่อว่าการเปิดเผยข้อมูลเหตุการณ์นี้เป็นผลมาจากการลักลอบโจมตีเซิร์ฟเวอร์ Oracle PeopleSoft เป็นวงกว้าง ซึ่งรายงานเป็นครั้งแรกโดย BleepingComputer เมื่อต้นเดือนที่ผ่านมา

ตามที่มีการรายงานในครั้งแรก ผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Oracle PeopleSoft เพื่อเจาะเข้าระบบ และขโมยข้อมูล

กลุ่ม ShinyHunters ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีดังกล่าว โดยให้ข้อมูลกับ BleepingComputer ว่า มี Instances ของระบบ PeopleSoft มากกว่า 300 รายการใน 100 องค์กรที่ถูกเจาะระบบ

หลังจากนั้นไม่นาน Oracle ได้เปิดเผยถึงช่องโหว่ระดับ Critical ใน Oracle PeopleSoft PeopleTools หมายเลข CVE-2026-35273 และได้ปล่อยมาตรการลดผลกระทบฉบับฉุกเฉินออกมาแล้ว

แม้ว่า Oracle จะยังไม่ได้ออกมายืนยันต่อสาธารณะว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ในเวลาต่อมา Mandiant ได้ยืนยันว่า ผู้ไม่หวังดีได้ใช้ช่องโหว่ CVE-2026-35273 ของ Oracle PeopleSoft ในฐานะช่องโหว่ Zero-day เพื่อทำการโจมตี และขโมยข้อมูลระหว่างวันที่ 27 พฤษภาคม ถึง 9 มิถุนายน ที่ผ่านมา

การโจมตีเหล่านี้ส่งผลกระทบต่อองค์กรในภาคการศึกษาเป็นหลัก โดย Mandiant ระบุว่า ได้ทำการแจ้งเตือนองค์กรต่าง ๆ ไปแล้วกว่า 100 แห่ง ซึ่งเป็นการยืนยันข้อมูลที่ ShinyHunters เคยเปิดเผยออกมาก่อนหน้านี้

ตั้งแต่นั้นเป็นต้นมา ShinyHunters ก็ได้เริ่มนำข้อมูลที่ขโมยมาจากการโจมตีเหล่านี้ไปเผยแพร่บนเว็บไซต์ Data leak ของตน ซึ่งรวมถึงข้อมูลของ Nottingham University และ National Association of Insurance Commissioners (NAIC) ของสหรัฐฯ

ผู้ไม่หวังดีกลุ่มนี้เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักกันดี ซึ่งมักจะมุ่งเป้าการโจมตีไปที่ Salesforce, Snowflake, Third-party ที่ให้บริการเชื่อมต่อระบบภายนอก และ Cloud SaaS environments อื่น ๆ เพื่อทำการขโมยข้อมูล

เมื่อเร็ว ๆ นี้ ShinyHunters เพิ่งมุ่งเป้าการโจมตีไปที่ภาคการศึกษาในการโจมตีทางไซเบอร์ที่แยกต่างหากอีกเหตุการณ์หนึ่งซึ่งเกิดขึ้นกับ Instructure Canvas โดยได้ขโมยข้อมูลจำนวนกว่า 280 ล้านรายการของนักเรียน, ครู และบุคลากร ซึ่งในเวลาต่อมา Instructure ต้องยอมจ่ายค่าไถ่เพื่อป้องกันไม่ให้ข้อมูลดังกล่าวถูกนำไปเปิดเผย

ที่มา : bleepingcomputer.