Oracle-Lücke CVE-2026-35273: ShinyHunters kompromittiert 300+ Instanzen
26.06.2026 - 11:14:24 | boerse-global.de
Betroffen sind Finanzberichte und Kreditbewertungen, personenbezogene Daten blieben nach Angaben der Behörde jedoch verschont.
Schattenjagd im Datendschungel
Der Angriff ereignete sich bereits am 11. Juni, doch erst am gestrigen Donnerstag bestätigte die NAIC das Schlimmste: Die Hackergruppe ShinyHunters hat die erbeuteten 3,1 Terabyte an Daten veröffentlicht. Die Täter nutzten eine kritische Sicherheitslücke in Oracle PeopleSoft aus – eine Schwachstelle mit der Kennung CVE-2026-35273 und einem CVSS-Wert von 9,8 (maximal 10). Betroffen sind die PeopleTools-Versionen 8.61 und 8.62.
Die NAIC arbeitet nach eigenen Angaben mit externen Cybersicherheitspartnern und dem FBI zusammen. Die internen Ermittlungen sollen ergeben haben, dass nur öffentlich zugängliche statistische Finanzberichte und Kreditrating-Daten abgegriffen wurden. Weder persönliche Identifikationsdaten, noch Mitarbeiterakten oder Zahlungsinformationen seien kompromittiert worden. Auch kritische Systeme wie SERFF, OPTins, UCAA, EDP und RDC blieben den Angaben zufolge sicher – anders als von den Angreifern behauptet.
Kritik an der Kommunikation
Doch die Informationspolitik der Behörde sorgt für Unmut. Der Branchenverband NAMIC (National Association of Mutual Insurance Companies) und die APCIA (American Property Casualty Insurance Association) üben scharfe Kritik: Die NAIC informierte die Öffentlichkeit erst am 17. Juni über den Vorfall – sechs Tage nach dem eigentlichen Einbruch. Eine Zeitspanne, die bei den betroffenen Unternehmen für Verunsicherung sorgt.
Globale Angriffswelle auf Oracle-Systeme
Der Fall NAIC ist kein Einzelfall. ShinyHunters nutzte die Oracle-Sicherheitslücke zwischen dem 27. Mai und dem 9. Juni aus und kompromittierte über 300 Instanzen bei mehr als 100 Organisationen weltweit. Der Fokus lag dabei auf dem Bildungssektor: Rund 68 Prozent der angegriffenen Einrichtungen stammen aus diesem Bereich.
Die ShinyHunters-Kampagne hat über 300 Oracle-PeopleSoft-Instanzen bei mehr als 100 Organisationen kompromittiert – mit der kritischen Lücke CVE-2026-35273 (CVSS 9.8). Prüfen Sie jetzt mit unserer kostenlosen Sofort-Checkliste, ob Ihre Systeme betroffen sind. Kostenlose Sofort-Checkliste anfordern
Zu den bestätigten Opfern zählen:
- University of Nottingham: 454.600 Datensätze abgeflossen
- Europarat: 297 Gigabyte an Personal-, Gehalts- und medizinischen Daten gestohlen
- Kodak und Amazon One Medical: Von ShinyHunters als weitere Ziele genannt
Bildungseinrichtungen im Visier
Besonders brisant: Die Angreifer trafen auch Bildungsplattformen wie Instructure's Canvas und BLEND. Berichten zufolge zahlte Instructure ein Lösegeld an ShinyHunters – nach einem Einbruch, der potenziell 275 Millionen Nutzer an 8.800 Bildungseinrichtungen betraf. Im texanischen Austin deaktivierte der unabhängige Schulbezirk vorsorglich den Zugang zur BLEND-Plattform. Die gestohlenen Daten umfassen Namen, E-Mail-Adressen, Schülerausweisnummern und interne Nachrichten.
Ransomware-Welle in Europa
Ransomware-Angriffe in Europa stiegen um 55 % – ShinyHunters setzt auf Datendiebstahl statt Verschlüsselung. Mit unserem 3-Schritte-Plan sichern Sie Ihre Lieferkette gegen kaskadierende Risiken. 3-Schritte-Plan per E-Mail anfordern
Die Kampagne von ShinyHunters gilt unter Cybersicherheitsexperten als Paradebeispiel für kaskadierende Lieferkettenrisiken. Der Vorfall fällt in eine Zeit stark steigender Ransomware-Aktivitäten in Europa. Allein in den ersten vier Monaten des Jahres 2026 verzeichneten Sicherheitsforscher 684 Angriffe in der Region – ein Anstieg um 55 Prozent im Vergleich zu den 441 Attacken im gleichen Zeitraum 2025.
Besonders betroffen sind das verarbeitende Gewerbe und der Dienstleistungssektor. Die Länder mit den meisten Vorfällen: Großbritannien, Deutschland und Frankreich. Sicherheitsexperten betonen, dass ShinyHunters bei dieser Kampagne auf Datendiebstahl und Erpressung setzte – nicht auf Dateiverschlüsselung. Ein Trend, der die Bedrohungslage noch unberechenbarer macht.
