Kodak confirma vazamento após ameaça do grupo ShinyHunters

A Kodak foi mais uma vítima do padrão de ataque 'pay-or-leak' do ShinyHunters, mas, diferentemente do que a empresa afirmou, os dados já foram vazados publicamente em 18 de junho. A ameaça não era hipotética: o grupo postou os 2,2 milhões de registros no mesmo dia-limite, incluindo PII como nomes, e-mails e telefones. O ponto crítico técnico não está na Kodak em si, mas na cadeia de suprimentos: o ShinyHunters vem explorando sistematicamente a mesma vulnerabilidade zero-day (CVE-2026-35273) no Oracle PeopleSoft desde abril, usada também contra o Conselho da Europa, ADT e Medtronic. Isso sugere que a Kodak pode ter sido comprometida via um fornecedor ou parceiro que usa essa plataforma, não por falha interna isolada.

O grupo não criptografou sistemas nem paralisou operações. Ele focou em exfiltração silenciosa de dados sensíveis armazenados em instâncias mal protegidas, como Salesforce Experience Cloud com permissões de convidado expostas, ou PeopleSoft com atualizações pendentes. Em 2026, o ShinyHunters já atacou mais de 100 organizações com essa mesma CVE, e vendeu ao menos 800 milhões de registros em mercados clandestinos. A Kodak está na lista, mas não é o alvo, é mais um elo fraco numa infraestrutura compartilhada.

Em abril e maio, a CEVIU já havia mapeado o modus operandi do ShinyHunters: ataques em massa via PeopleSoft e Salesforce, com foco em exfiltração, não ransomware tradicional. Agora, com o vazamento da Kodak em 19 de junho, há confirmação de que a CVE-2026-35273 se tornou um vetor consolidado, e que empresas brasileiras usando essas plataformas estão expostas sem saber. Antes, era rumor de exploração; agora, é padrão operacional comprovado em quatro grandes incidentes em dois meses.

Empresas que usam Oracle PeopleSoft ou Salesforce para gerenciar dados de clientes ou RH precisam verificar, agora, se aplicaram o patch da CVE-2026-35273, divulgado pela Oracle em 10 de maio de 2026. A Kodak não mencionou a vulnerabilidade, mas o histórico do grupo mostra que ela raramente ataca sem um vetor técnico conhecido. Ignorar esse patch não é negligência técnica, é convite à exposição em larga escala. E, no Brasil, onde 42% das empresas de médio e grande porte usam PeopleSoft para folha de pagamento, o risco é direto e mensurável.