Oracle heeft onlangs een noodpatch uitgebracht voor een kritieke kwetsbaarheid in PeopleSoft, nadat cybercriminelen van ShinyHunters claimden data te hebben buitgemaakt van honderden PeopleSoft-omgevingen wereldwijd. Tegelijk is het ook de zoveelste aflevering in de saga over Oracle en PeopleSoft.
Volgens de groep zijn meer dan honderd organisaties getroffen. Volgens Alex Pembrey, team leader, Cyber Threat Volgens Intelligence bij NCC Group, het moederbedrijf van Fox-IT, is het op dit moment nog te vroeg om vast te stellen hoeveel Belgische of Nederlandse organisaties zijn getroffen.
Wat deze aanval vooral benadrukt, is dat bedrijfsapplicaties zoals erp- en hr-systemen een aantrekkelijk doelwit blijven voor aanvallers, aldus Pembrey. ‘Deze systemen bevatten vaak grote hoeveelheden gevoelige bedrijfs- en persoonsgegevens en spelen een cruciale rol binnen organisaties. Wanneer kwetsbaarheden in dergelijke omgevingen niet snel worden verholpen, kunnen de gevolgen aanzienlijk zijn.’
Voorgeschiedenis
PeopleSoft en Oracle hebben overigens een lange voorgeschiedenis. Oracle deed in 2003 een vijandig overnamebod op het bedrijf, dat na langdurig verzet in januari 2005 werd afgerond voor circa 10,3 miljard dollar, destijds een van de grootste en meest betwiste overnames in de softwaresector. PeopleSoft-ceo Craig Conway probeerde de overname via juridische weg te blokkeren.
Na de overname beloofde Oracle de PeopleSoft-producten te blijven onderhouden, maar gebruikersorganisaties bleven jarenlang bezorgd over de toekomst van hun investeringen. Twintig jaar later draait PeopleSoft nog steeds bij duizenden grote organisaties wereldwijd. Iets wat de omvang van de huidige kwetsbaarheid des te relevanter maakt.
