Hội đồng Châu Âu trở thành nạn nhân mới trong vụ tấn công Oracle PeopleSoft của nhóm ShinyHunters
Nhóm tội phạm mạng ShinyHunters tuyên bố đã tấn công thành công Hội đồng Châu Âu và đánh cắp hơn 297 GB dữ liệu bằng cách khai thác lỗ hổng zero-day trong phần mềm Oracle PeopleSoft. Vụ việc này là một phần trong chuỗi tấn công nhắm vào hơn 100 tổ chức trên toàn cầu, bao gồm cả Đại học Nottingham, với các dữ liệu bị lộ bao gồm hồ sơ nhân sự và thông tin tài chính nhạy cảm.
Hội đồng Châu Âu (Council of Europe) vừa trở thành nạn nhân mới nhất trong một chiến dịch tấn công mạng quy mô lớn do nhóm tội phạm ShinyHunters thực hiện. Nhóm này tuyên bố đã khai thác một lỗ hổng zero-day trong phần mềm Oracle PeopleSoft để đột nhập vào hệ thống và đánh cắp một lượng lớn dữ liệu nhạy cảm.
Theo thông tin đăng trên trang web rò rỉ dữ liệu của nhóm tống tiền này, ShinyHunters đã lấy cắp hơn 297 GB dữ liệu, bao gồm 429.000 tệp tin. Các dữ liệu bị lộ bao gồm hồ sơ nhân sự, bảng lương, đơn đặt hàng, CV, cũng như các thông tin cực kỳ nhạy cảm như mức lương, tài khoản ngân hàng, thuế và hồ sơ y tế của nhân viên.
Lỗ hổng chưa được vá và các nạn nhân khác
Một người phát ngôn của Hội đồng Châu Âu xác nhận họ đang "điều tra vấn đề và đánh giá tình hình", nhưng từ chối bình luận thêm về các chi tiết cụ thể. Hiện tại, vẫn chưa rõ liệu lỗ hổng được theo dõi dưới mã số CVE-2026-35273 này đã được Oracle vá hay chưa, vì công ty này chưa phản hồi các yêu cầu bình luận từ giới truyền thông.
ShinyHunters cho biết Hội đồng Châu Âu chỉ là một trong số hơn 100 tổ chức trở thành nạn nhân của cuộc tấn công này. Trước đó, Đại học Nottingham (Anh) cũng đã bị nhóm này liệt kê là nạn nhân và dữ liệu của khoảng 454.600 sinh viên hiện tại và cũ đã bị công bố.
Một báo cáo đe dọa từ Google được công bố vào tuần trước cũng đã ghi nhận hoạt động độc hại "tương thích với việc khai thác CVE-2026-35273" trong khoảng thời gian từ ngày 27 tháng 5 đến ngày 9 tháng 6. Google cho biết họ đã thông báo cho hơn 100 tổ chức trên toàn cầu có địa chỉ IP liên quan đến các điểm cuối có thể bị tổn thương. Đáng chú ý, phần lớn các nạn nhân là các tổ chức tại Mỹ và 68% trong số đó hoạt động trong lĩnh vực giáo dục đại học.
Lịch sử tấn công vào lĩnh vực giáo dục
Vụ việc mới nhất này tiếp nối chuỗi các cuộc đột nhập của ShinyHunters nhắm vào dữ liệu của trường học và sinh viên. Vào giữa tháng 5, gã khổng lồ công nghệ giáo dục Instructure thừa nhận đã "đạt được thỏa thuận" (một cách nói doanh nghiệp chỉ việc trả tiền chuộc) với nhóm này sau khi ShinyHunters xâm nhập vào nền tảng học tập số Canvas và truy cập dữ liệu của 275 triệu sinh viên, giáo viên và nhân viên.
Vào tháng 3, nhóm này cũng tuyên bố đánh cắp dữ liệu từ nhà cung cấp phần mềm K-12 Infinite Campus. Không giống như Instructure, Infinite Campus đã không trả tiền chuộc và kết quả là dữ liệu của 137.000 cá nhân, bao gồm email, tên, số điện thoại và địa chỉ, đã bị công bố.
Sự gia tăng các cuộc tấn công vào lĩnh vực giáo dục và các tổ chức quốc tế cho thấy sự nguy hiểm của các lỗ hổng phần mềm chưa được vá, đặc biệt là khi chúng bị các nhóm tội phạm mạng chuyên nghiệp khai thác quy mô lớn.
