De National Association of Insurance Commissioners (NAIC), de Amerikaanse overkoepelende organisatie van verzekeringsregulatoren, heeft bevestigd dat zij doelwit was van een recente hackcampagne waarbij een zero-day kwetsbaarheid in Oracle PeopleSoft werd misbruikt. Deze kwetsbaarheid, geregistreerd als CVE-2026-35273, maakt ongeauthentiseerde remote code execution mogelijk en kwam aan het licht op 11 juni toen Oracle een out-of-band security advisory publiceerde.

Hoewel Oracle in haar advisering geen melding maakte van daadwerkelijke exploits in het wild, bevestigden Google en andere partijen dat aanvallen plaatsvonden. De cybercrimegroep ShinyHunters wordt gezien als de dader achter deze campagne, waarbij meerdere organisaties werden aangevallen om data te stelen. NAIC gaf op 26 juni in een security incident notice aan dat zij op 11 juni ongeautoriseerde toegang tot haar systemen ontdekte via de PeopleSoft kwetsbaarheid.

Een onderzoek toonde aan dat de aanvallers toegang kregen tot publiek beschikbare financiële rapportages, data van kredietbeoordelaars en technische informatie zoals verouderde logs en configuratiegegevens. Volgens NAIC zijn er geen persoonsgegevens, betalingsgegevens of financiële accountinformatie gelekt. Ook bleken de systemen van de afzonderlijke staatsverzekeringsdepartementen en diverse andere regelgevende rapportagesystemen niet getroffen, in tegenstelling tot wat aanvankelijk door de hackers werd beweerd.

ShinyHunters plaatste op 18 juni NAIC op hun lekwebsite en claimde meer dan 105.000 bestanden met een omvang van ruim 3,1 terabyte te hebben buitgemaakt, waaronder 2,1 miljoen documenten met verzekeringsregelgevende gegevens. Later corrigeerden de criminelen deze aantallen en gaven aan dat de oorspronkelijke claims deels gebaseerd waren op een "AI-gegenereerde verkeerde interpretatie van de onderliggende data". Volgens de update zijn er uiteindelijk 260.000 documenten gestolen en werden bepaalde diensten die NAIC als niet-gecompromitteerd bestempelde, niet genoemd.

ShinyHunters zegt meer dan honderd organisaties te hebben aangevallen met deze Oracle PeopleSoft campagne, maar NAIC is vooralsnog de eerste die publiekelijk bevestigt dat haar data is gecompromitteerd. Ook de Universiteit van Nottingham zou slachtoffer zijn, maar heeft in haar melding geen PeopleSoft genoemd.