Breach Oracle PeopleSoft: 100+ organizations affected

Cosa è cambiato: ShinyHunters rivendica l’accesso a oltre 100 server PeopleSoft

On June 10, 2026, the criminal group known as Shiny Hunters ha dichiarato di aver compromesso i server Oracle PeopleSoft di più di cento organizzazioni. La notizia è stata riportata in prima istanza da TechCrunch, which documented the group's public claim. Among the identified victims are predominantly university entities and medium to large organizations.

Oracle PeopleSoft è una suite ERP enterprise ampiamente diffusa per la gestione di HR, finanza e supply chain. Pertanto, una sua compromissione non riguarda solo i dati tecnici: tocca direttamente le informazioni personali di dipendenti, studenti e fornitori.

ShinyHunters non è un attore nuovo nel panorama delle minacce informatiche. Infatti, il gruppo è già noto per violazioni di alto profilo negli anni scorsi, tra cui attacchi a piattaforme SaaS e database cloud. Tuttavia, l’estensione dichiarata di questa campagna — oltre cento organizzazioni simultaneamente — rappresenta un salto di scala significativo.

Il profilo di rischio degli ERP legacy: perché PeopleSoft è nel mirino

Oracle PeopleSoft è una piattaforma matura. Molte installazioni attive oggi risalgono a versioni rilasciate anni fa, con cicli di aggiornamento lenti e patch spesso non applicate tempestivamente. Di conseguenza, questi sistemi presentano superfici di attacco note e documentate.

According to the analyses published by Gartner, una quota rilevante delle organizzazioni che utilizzano ERP on-premise opera con versioni non aggiornate. Questo ritardo nella gestione delle patch è uno dei vettori di attacco più sfruttati dai gruppi ransomware e APT. Inoltre, la complessità architetturale di PeopleSoft — con moduli interconnessi e integrazioni legacy — rende difficile isolare rapidamente un’eventuale compromissione.

In particolare, le vulnerabilità più critiche riguardano spesso i layer di autenticazione e i servizi web esposti. Altresì, configurazioni errate dei permessi di accesso amplificano il rischio in modo esponenziale. Per questo motivo, un’installazione PeopleSoft non correttamente hardened è di fatto un punto di ingresso privilegiato per chi voglia muoversi lateralmente all’interno di una rete aziendale.

Immediate impact on the organizations involved

Le organizzazioni colpite si trovano ora a gestire scenari multipli e simultanei. Prima di tutto, devono verificare se i propri dati siano stati effettivamente esfiltrati o se la rivendicazione riguardi accesso non autorizzato senza esfiltrazione confermata. Quindi, devono notificare le autorità competenti secondo quanto previsto dal GDPR, con i tempi stringenti che la normativa impone.

Oltre a questo, le organizzazioni devono affrontare il rischio reputazionale. Una violazione che coinvolge dati HR o finanziari ha impatti diretti sulla fiducia di dipendenti, partner e clienti. Nonostante ciò, molte organizzazioni tendono a ritardare la comunicazione pubblica, aggravando ulteriormente la propria esposizione legale.

Analogamente a quanto accaduto in precedenti breach di sistemi ERP, è probabile che i dati sottratti vengano messi in vendita su forum underground o utilizzati per campagne di spear phishing mirate. Dunque, il perimetro del danno tende ad allargarsi nel tempo se non si interviene con rapidità.

What should SMEs with outdated ERP systems do now

Anche le PMI italiane che non utilizzano direttamente Oracle PeopleSoft devono leggere questo episodio come un segnale. Infatti, il principio sottostante è universale: qualsiasi sistema ERP o gestionale legacy non patchato è un vettore di rischio attivo. Pertanto, le azioni prioritarie da avviare sono chiare.

• Immediate check for available patchesOracle regularly releases Critical Patch Updates (CPUs). Organizations must verify if the latest releases have been applied, especially those related to PeopleSoft's web-facing modules.
• Privileged Access Audits: è necessario rivedere chi ha accesso amministrativo ai sistemi ERP, revocando credenziali non più necessarie e abilitando l’autenticazione a più fattori dove non presente.
• System log analysisThe access logs for the last 90 days must be reviewed for anomalous patterns, access from unusual IPs, or privilege escalation attempts.
• Network segmentation: i server ERP non dovrebbero essere direttamente raggiungibili dall’esterno. Una corretta segmentazione riduce drasticamente la superficie di attacco.
• Incident response plan: chi non dispone di un piano documentato per la gestione delle violazioni deve redigerlo con urgenza, identificando ruoli, responsabilità e procedure di notifica.

To delve deeper into best practices on the matter, the framework published by NIST Cybersecurity Framework represents a solid and adoptable operational reference, even for medium-sized organizations.

Lo sguardo di un’agenzia digitale: perché la sicurezza riguarda anche il marketing

Potrebbe sembrare controintuitivo che un’agenzia come SHM Studio si occupi di breach ERP. Tuttavia, la realtà operativa delle PMI italiane è quella di sistemi interconnessi: il CRM si integra con il gestionale, il gestionale alimenta il sito e-commerce, il sito e-commerce è collegato alle campagne digitali. Di conseguenza, una violazione a monte si propaga rapidamente verso il basso.

In particular, many of the SMEs that we follow in the digital marketing services utilizzano piattaforme legacy per la gestione degli ordini o dei clienti. Queste piattaforme, se compromesse, possono diventare vettori di distribuzione di contenuti malevoli verso i canali digitali — inclusi i siti web e le landing page delle campagne. Quindi, la sicurezza informatica non è separabile dalla strategia digitale.

Inoltre, un breach che espone dati di clienti o lead ha impatti diretti sulle campagne in corso: dalla qualità dei dati nei Google Ads all custom audiences on LinkedIn. Per questo motivo, consigliamo sempre ai nostri clienti di trattare la sicurezza come un prerequisito, non come un’opzione.

Prospettive: il rischio ERP legacy crescerà nei prossimi 18 mesi

Il caso ShinyHunters-PeopleSoft non è un episodio isolato. Infatti, la tendenza dei gruppi criminali organizzati è quella di concentrarsi su sistemi enterprise con installazioni numerose e cicli di aggiornamento lenti. Tra l’altro, la disponibilità crescente di strumenti di attacco automatizzati abbassa la soglia tecnica necessaria per sfruttare vulnerabilità note.

According to projections published by McKinsey, il costo globale dei crimini informatici è destinato a crescere significativamente entro il 2028, con una quota crescente attribuibile a vulnerabilità in sistemi legacy non migrati. Quindi, le organizzazioni che rimandano la modernizzazione dell’infrastruttura IT stanno di fatto accumulando debito di sicurezza.

In sintesi, il messaggio per le PMI italiane è semplice: non è necessario utilizzare Oracle PeopleSoft per essere a rischio. Qualsiasi sistema gestionale non aggiornato, non monitorato e non integrato in un piano di sicurezza strutturato rappresenta una vulnerabilità attiva. Noi di SHM Studio affianchiamo le aziende anche nella valutazione dell’ecosistema tecnologico sottostante alle loro strategie digitali — dalla web design all’AI solutions integration, going through the SEO and the Strategic copywriting. Chi volesse un confronto su questi temi può contattarci dalla Contact Us to explore insights into our blog.