Uma vulnerabilidade crítica no PeopleSoft, software amplamente utilizado por grandes organizações para gerenciar recursos humanos e folha de pagamento, colocou mais de 100 empresas e instituições no centro de uma das maiores crises de segurança do ano. A Oracle, fabricante do software, emitiu um alerta formal na quarta-feira, 11 de junho, após pesquisadores da Mandiant, divisão de segurança do Google, notificarem dezenas de organizações afetadas ao redor do mundo.
Segundo reportagem publicada pelo TechCrunch, a vulnerabilidade foi explorada por hackers antes mesmo que a Oracle tivesse a oportunidade de desenvolver e distribuir um patch corretivo, caracterizando o ataque como um zero-day. O grupo de hackers ShinyHunters reivindicou a responsabilidade pelo ataque um dia antes do anúncio oficial da Oracle.
Como a vulnerabilidade funcionava
O aspecto mais preocupante da falha é sua acessibilidade: a vulnerabilidade podia ser explorada pela internet sem exigir autenticação prévia. Em termos técnicos, isso significa que qualquer ator malicioso com conhecimento da brecha era capaz de comprometer sistemas vulneráveis sem precisar de credenciais de acesso, senhas ou qualquer outro mecanismo de autorização.
O software PeopleSoft é amplamente adotado em universidades, órgãos governamentais e grandes corporações para gerenciar dados altamente sensíveis de funcionários e estudantes. A natureza do sistema comprometido explicou, em parte, o perfil das vítimas: aproximadamente dois terços das organizações afetadas são instituições de ensino superior nos Estados Unidos.
A classificação técnica da falha a coloca na categoria mais grave do espectro de vulnerabilidades: execução remota de código sem autenticação, um cenário que profissionais de segurança descrevem como o “pior caso possível” em termos de exposição corporativa. Qualquer sistema PeopleSoft acessível pela internet e que não tivesse recebido mitigações específicas estava potencialmente exposto.
Os dados roubados e a ameaça de extorsão
A gravidade do incidente vai além do simples acesso não autorizado a sistemas. Os hackers conseguiram extrair registros detalhados de estudantes, incluindo nome completo, endereço residencial, telefone, endereço de e-mail, data de nascimento, etnia e média escolar. É o tipo de informação que pode ser utilizada em ataques de phishing direcionado, roubo de identidade ou vendida em mercados ilegais da dark web.
O grupo ShinyHunters, seguindo um padrão que se tornou comum em ataques de ransomware e extorsão, ameaçou publicar os dados caso as vítimas não atendessem suas demandas financeiras. Essa tática de dupla extorsão – onde os criminosos tanto obtêm acesso quanto ameaçam vazar dados – tem se tornado a norma em ataques de alto perfil nos últimos anos.
A Mandiant confirmou que notificou “mais de 100 organizações globais”, com a maioria das vítimas localizada nos Estados Unidos. O número real de organizações afetadas pode ser maior, considerando que nem todas as vítimas comunicam incidentes de segurança a autoridades ou a empresas de resposta a incidentes. Em muitos casos, organizações preferem lidar com incidentes internamente para evitar danos à reputação.
A resposta da Oracle e o que os clientes devem fazer
A Oracle, em seu comunicado, orientou clientes a “aplicar mitigações para impedir exploração” enquanto trabalhava no desenvolvimento de uma correção definitiva. A empresa não detalhou publicamente quais mitigações específicas seriam necessárias, o que gerou críticas de pesquisadores de segurança que argumentam que instruções vagas dificultam a resposta dos times de TI nas organizações afetadas.
Especialistas em segurança recomendam que organizações que utilizam o PeopleSoft tomem medidas imediatas: revisar logs de acesso em busca de atividade suspeita, restringir o acesso ao sistema via rede, e acionar equipes de resposta a incidentes caso haja indícios de comprometimento. Para instituições que já foram notificadas pela Mandiant, a prioridade deve ser conter o incidente e avaliar quais dados foram acessados ou exfiltrados.
O PeopleSoft e seu papel crítico nas organizações
Para entender a dimensão do problema, é preciso compreender a centralidade do PeopleSoft na operação de grandes organizações. O software, que a Oracle adquiriu em 2005 por US$ 10,3 bilhões, é utilizado por milhares de empresas e instituições ao redor do mundo para processar folhas de pagamento, gerenciar benefícios, controlar a jornada de trabalho e armazenar dados pessoais de funcionários e estudantes.
Nas universidades americanas, o PeopleSoft é frequentemente o backbone dos sistemas acadêmicos e financeiros, integrando matrículas, notas, bolsas de estudo e dados financeiros de dezenas de milhares de estudantes. O comprometimento desses sistemas não é apenas uma questão de segurança de dados – pode afetar a operação de serviços essenciais como pagamento de bolsas e processamento de registros acadêmicos.
O fato de dois terços das vítimas serem instituições de ensino superior levanta questões sobre a maturidade de segurança nesse setor. Universidades tipicamente têm orçamentos de TI e segurança menores do que corporações de grande porte, mas processam quantidades enormes de dados pessoais sensíveis. Essa combinação de alta exposição de dados e menor capacidade defensiva as torna alvos atraentes para grupos de hackers sofisticados.
Zero-days e a corrida permanente entre atacantes e defensores
O incidente com a Oracle ilustra um problema estrutural que afeta toda a indústria de software: a inevitabilidade dos zero-days. Essas são vulnerabilidades desconhecidas pelos fabricantes no momento em que são exploradas pelos atacantes, criando uma janela de exposição para a qual não existe defesa técnica imediata.
Em 2025, pesquisadores registraram um número recorde de zero-days explorados ativamente, com alvos privilegiados em software de gestão corporativa – exatamente o nicho do PeopleSoft. A tendência reflete tanto o aumento de grupos de hackers patrocinados por estados quanto a profissionalização do crime cibernético, onde grupos como o ShinyHunters operam com eficiência comparável a empresas de tecnologia legítimas.
Para as organizações, a lição é dolorosa mas necessária: nenhum software é imune, independentemente do porte ou da reputação do fabricante. Estratégias de defesa em profundidade, monitoramento contínuo e planos de resposta a incidentes não são mais diferenciais, mas necessidades básicas de qualquer operação que lide com dados sensíveis. O incidente com a Oracle é mais um lembrete de que a segurança cibernética não é um problema que se resolve – é um processo contínuo de adaptação e vigilância.
