Svět firemní kybernetické bezpečnosti zažívá další vážný otřes. Známá hackerská skupina ShinyHunters dokázala úspěšně prolomit zabezpečení více než stovky organizací po celém světě. Využila k tomu doposud neznámou, kritickou zranitelnost v populárním podnikovém softwaru PeopleSoft od technologického giganta Oracle. Mezi nejčastější oběti přitom patří velké nadnárodní společnosti a prestižní univerzity, které tento systém denně používají k řízení lidských zdrojů a zpracování mezd.
Útoky probíhaly skrytě ještě předtím, než vývojáři společnosti Oracle stihli na problém vůbec zareagovat a vydat bezpečnostní varování. Tato situace tak ukazuje, jak zranitelné mohou být klíčové vnitřní systémy velkých institucí, pokud se dostanou do hledáčku profesionálních hackerů.
Mohlo by vás zajímat
Kritická zranitelnost bez nutnosti hesla
Bezpečnostní experti označili tuto zranitelnost jako CVE-2026-35273 a přiřadili jí status takzvaného zero-day nedostatku. To v praxi znamená, že hackeři o chybě věděli a aktivně ji zneužívali dříve, než na ni existovala jakákoliv softwarová záplata. Ale nejvíce alarmující na celém incidentu je fakt, že k ovládnutí serveru nepotřebovali žádné přihlašovací údaje ani ověření identity.
Chyba umožňuje takzvané vzdálené spuštění kódu. Útočník z libovolného místa na světě může přes internet poslat upravený požadavek, kterým donutí firemní server vykonat jakýkoliv příkaz. Tím získá plnou kontrolu nad databázemi, které obsahují ty nejcitlivější informace o zaměstnancích, platech, bankovních účtech nebo interních strukturách firem.
Fotogalerie
Žádný virus, jen vydírání
K odpovědnosti za útoky se otevřeně přihlásila skupina ShinyHunters. Tento hackerský syndikát není v kybernetickém podsvětí žádným nováčkem. V minulosti na sebe upozornil úspěšnými průniky do systémů obřích herních či technologických studií. Často navíc spolupracuje s dalšími elitními vyděračskými skupinami, jako jsou Lapsus$ nebo Scattered Spider.
Strategie útočníků je v tomto případě jasná a využívá osvědčený model finančního vydírání:
- Hackeři nejprve potichu stáhnou kompletní databáze personalistiky a mezd.
- Následně kontaktují vedení zasažené instituce s finančním požadavkem na výkupné.
- Pokud firma odmítne zaplatit, ukradená data skončí na veřejně přístupném webu skupiny, což pro organizaci znamená obrovskou reputační i právní ránu.
Zatímco některé organizace stihly útok včas detekovat a zablokovat, desítky dalších takové štěstí neměly. A jejich interní data se skutečně objevila na hackerských fórech.
Globální dopad útoku na Oracle
Platforma Oracle PeopleSoft přitom patří k celosvětovým standardům v oblasti řízení lidských zdrojů). Ačkoliv těžiště těchto systémů leží v Severní Americe, využívají je i evropské pobočky globálních korporací a mezinárodní vzdělávací instituce. Dotčené evropské organizace nyní musí čelit nejen samotnému úniku dat, ale také hrozbě masivních pokut ze strany regulačních úřadů za nedostatečné zabezpečení osobních údajů svých zaměstnanců.
