Vazamento de dados na Universidade de Nottingham afeta mais de 450 mil estudantes

O vazamento na Universidade de Nottingham, confirmado em junho de 2026, não foi um ataque isolado, foi o ponto mais visível de uma campanha coordenada do ShinyHunters contra instâncias Oracle PeopleSoft. O grupo explorou uma cadeia de vulnerabilidades zero-day e não corrigidas no módulo Campus Solutions, usado por centenas de universidades globais. Dados de 454.600 pessoas foram exfiltrados: 40 GB incluem números de passaporte, seguro nacional (UK), cartão de crédito, deficiências declaradas e até dados sensíveis protegidos pela GDPR e UK Data Protection Act 2018.

A universidade desligou os sistemas afetados imediatamente, mas o dano já estava feito. O ShinyHunters publicou amostras dos dados em fóruns underground e ofereceu acesso completo por US$ 200 mil. Fontes de inteligência cibernética confirmam que pelo menos 37 outras instituições de ensino, entre elas a Universidade de Birmingham e a Universidade de Leeds, sofreram ataques similares com exploração de PSAPPSRV.LOG e falhas de autenticação em APIs legadas do PeopleSoft 9.2 e PeopleTools 8.59.

Esse incidente mostra que sistemas legados não são apenas lentos ou caros de manter, são alvos prioritários. O PeopleSoft ainda é usado por 73% das universidades do Russell Group e por mais de 1.200 instituições no Reino Unido, segundo relatório da Jisc de maio de 2026. A maioria roda versões sem suporte estendido da Oracle ou com patches críticos não aplicados desde 2024. O risco não está só no software antigo: está na combinação de exposição pública de endpoints, falta de MFA em contas administrativas e logs mal configurados, como PSAPPSRV.LOG, que registra consultas SQL em texto claro e foi usado pelos invasores para mapear bancos de dados antes da exfiltração.

Desenvolvedores e administradores de sistemas em organizações que usam PeopleSoft precisam agir agora. Não basta atualizar: é preciso auditar quem tem acesso ao PS_HOME/appserv, revisar regras de firewall para IPs autorizados e substituir senhas em texto claro por tokens com tempo de vida limitado. A Oracle já lançou patches para CVE-2025-28712 e CVE-2026-11403, ambas exploradas nessa campanha, mas 68% das instâncias afetadas não tinham esses updates aplicados, segundo análise da Mandiant divulgada em julho de 2026. Se seu time ainda monitora PSAPPSRV.LOG manualmente, está atrasado: ferramentas como Splunk com SPL personalizado ou Elastic SIEM com detecção de padrões de 'SELECT * FROM PS_' em sequência já estão sendo usadas por equipes de segurança proativas para bloquear exfiltração em tempo real.