En sårbarhet i Oracles PeopleSoft drabbar hundra organisationer – Nissan-anställdas personnummer och bankuppgifter riskerar att röjas
Hackare kom åt personnummer och bankuppgifter hos hundratals Nissan-anställda.
En sårbarhet, hundra offer
Det började som en enda säkerhetsbrist. CVE-2026-35273 – en allvarlig nolldagssårbarhet i Oracles personalhanteringssystem PeopleSoft – möjliggör fjärrkörning av skadlig kod helt utan inloggningsuppgifter. Det är den sortens brist som säkerhetsforskare kallar kritisk av goda skäl: angriparen behöver ingenting utöver en nätverksanslutning.
Oracle publicerade en akut säkerhetsuppdatering den 11 juni, men vid det laget hade skadan redan skett. Enligt SecurityWeek har utpressningsgruppen ShinyHunters utnyttjat bristen mot fler än hundra organisationer i en koordinerad kampanj – och nu börjar offren kliva fram.
Den amerikanska samarbetsorganisationen för statliga försäkringstillsynsmyndigheter, NAIC, var den första att offentligt bekräfta att data komprometterades. Angriparna kom åt finansiell rapporteringsinformation, data från kreditvärderingsinstitut samt teknisk information som inaktuella loggar och konfigurationsdata. Personuppgifter och betalningsinformation uppges inte ha påverkats – vilket i sammanhanget nästan låter som en lättnad, trots att det rör sig om en av USA:s viktigaste samordningspunkter för försäkringstillsyn i samtliga 50 delstater.
Mer kännbart för enskilda individer är intrånget mot biltillverkaren Nissan. I en anmälan till Californiens justitieminister bekräftar Nissan Americas att nuvarande och tidigare anställda i USA, Kanada, Mexiko och Brasilien kan ha fått personnummer, bankuppgifter samt ekonomiska och skattemässiga uppgifter stulna – precis den typ av information som är guld värd för den som vill begå ekonomiskt bedrägeri eller driva utpressning. Utredningen pågår fortfarande och det exakta antalet drabbade är ännu okänt, rapporterar SecurityWeek.
Det gemensamma mönstret är talande: två helt olika organisationer, i helt olika branscher, drabbade av exakt samma attackvektor. Det visar hur kraftfullt det kan vara när en enda sårbarhet i ett utbrett affärssystem förblir okänd tillräckligt länge.
Vägskyltar och reklamskärmar – öppna på glänt
Om Oracle-kampanjen handlar om stöld av data, handlar nästa säkerhetsfynd om något mer synligt – bokstavligen. Säkerhetsforskaren Thomas Jou vid Princeton University har identifierat tre allvarliga säkerhetshål i kontrollenheter från det amerikanska företaget Daktronics, vars LED-skärmar och digitala skyltar återfinns på motorvägar, flygplatser, sportarenor och i stadskärnor världen över. Bristerna har rapporterats av den amerikanska myndigheten CISA.
Sårbarheterna är tekniskt sett klassiska men desto farligare i kombination: ett sökvägstraverseringsproblem som tillåter läsning av godtyckliga filer utan inloggning, en brist som medger uppladdning av godtyckliga filer vid autentisering – och, kanske mest anmärkningsvärt, att enheterna levererades med fabriksinställda administratörslösenord som inte krävdes att ändras.
– Fältprovning visade att en majoritet av de internetexponerade enheterna fortfarande använde standarduppgifterna, berättar Jou för SecurityWeek. En angripare kan i praktiken manipulera vad skylten visar – ladda upp falska eller vilseledande meddelanden på reklamtavlor och vägskyltar, eller fejkade varningar.
Det är inte svårt att föreställa sig konsekvenserna: en falsk varning om vägarbete som leder trafik fel, en manipulerad hastighetsskylt, eller desinformation på ett vältrafikerat digitalt annonsutrymme. Jou identifierade flera kontrollenheter som är direkt åtkomliga via internet – utan fysisk tillgång, utan avancerade verktyg.
Han poängterar att ansvaret för att hålla enheterna borta från internet i första hand ligger hos kunderna, inte tillverkaren. Det är ett argument man hör ofta i branschen, och det är inte helt fel – men det fritar inte heller tillverkare från ansvar när fabriksinställda lösenord aldrig byts ut och inga krav ställs på det.
Mönstret är tydligare än någonsin
Det som förenar dessa händelser är inte tekniken i sig – Oracle PeopleSoft och Daktronics kontrollenheter har föga gemensamt under huven. Det som förenar dem är bristen på grundläggande säkerhetshygien och den underskattade risken med att ansluta affärskritiska och infrastrukturkritiska system till internet utan tillräckliga skyddsåtgärder.
Nolldagssårbarheter är svåra att skydda sig mot per definition – de är okända tills de utnyttjas. Men fabriksinställda lösenord som aldrig byts ut, och system som exponeras mot internet utan härdning, är problem vi har känt till och kunnat åtgärda i decennier. Att de fortfarande är vanliga är inte ett tekniskt problem. Det är ett prioriteringsproblem.
Vår analys
Det här är ett av de tydligaste exemplen jag sett på hur säkerhetsskuld ackumuleras tyst – och sedan löser ut med ränta. Oracle-kampanjen visar att en enda sårbarhet i ett utbrett affärssystem kan ge en angripare ett smörgåsbord av offer att välja bland. ShinyHunters påstår sig ha riktat in sig på över hundra organisationer, men hittills är bara ett fåtal offentligt kända. Det innebär att vi sannolikt bara sett toppen av det här isberget.
Daktronics-fynden pekar mot en bredare och oroande trend: fysisk infrastruktur som kopplas upp mot internet utan att säkerhet behandlas som ett grundkrav från dag ett. Att majoriteten av exponerade enheter fortfarande körde på fabrikslösenord är inte en teknisk miss – det är ett systemfel i hur produkter designas, driftsätts och underhålls.
Framt ser jag en allt tydligare skiljelinje mellan organisationer som behandlar säkerhet som en integrerad del av sin digitala verksamhet – och de som fortfarande betraktar det som en efterhandslapp. Den skillnaden kommer att bli allt dyrare att ignorera.