Die NAIC erklärte in einem auf ihrer Website veröffentlichten Sicherheitshinweis, sie habe am 11. Juni von einem unbefugten Zugriff auf ihre Systeme über eine Oracle-PeopleSoft-Schwachstelle erfahren. Die Organisation wird von den Versicherungsaufsehern der US-Bundesstaaten getragen und koordiniert politische Arbeit, entwickelt Modellgesetze und unterstützt die Aufsicht in allen 50 Bundesstaaten.

Im Mittelpunkt des Vorfalls steht CVE-2026-35273. Oracle veröffentlichte dazu am 11. Juni einen außerplanmäßigen Sicherheitshinweis. Die Schwachstelle erlaubt laut Hersteller eine nicht authentifizierte Remotecodeausführung. Obwohl Oracle in der öffentlichen Mitteilung keine Angriffe unter realen Bedingungen erwähnte, bestätigten Google und andere, entsprechende Ausnutzung beobachtet zu haben.

Nach Darstellung der NAIC ergab die Untersuchung, dass die Angreifer Zugang zu öffentlich verfügbaren gesetzlichen Finanzmeldedaten, zu Daten von Ratingagenturen und zu technischen Informationen wie veralteten Protokollen und Konfigurationsdaten erlangten. Nicht betroffen gewesen seien personenbezogene Informationen sowie Zahlungsinformationen und Finanzkontodaten. Ebenfalls nicht beeinträchtigt worden seien die Systeme der Versicherungsaufsichtsbehörden der Bundesstaaten und verschiedene regulatorische Meldesysteme.

Die Erpressergruppe ShinyHunters scheint hinter der Kampagne zu stehen. Laut Bericht behauptet die Gruppe, viele Organisationen ins Visier genommen zu haben, um deren Daten zu stehlen. Die NAIC ist nach derzeitigem Stand offenbar das erste Opfer, das öffentlich bestätigt hat, dass bei dieser Oracle-PeopleSoft-Kampagne tatsächlich Daten kompromittiert wurden.

ShinyHunters nahm die NAIC am 18. Juni in ihre Leak-Seite auf und behauptete zunächst, mehr als 105.000 Dateien mit einem Gesamtvolumen von über 3,1 Terabyte entwendet zu haben, darunter 2,1 Millionen regulatorische Einreichungsdokumente von Versicherern. Später veröffentlichte die Gruppe eine Korrektur. Die ursprüngliche Darstellung habe auf einer „KI-generierten Fehlinterpretation der zugrunde liegenden Daten“ beruht; einige Angaben zur Art der kompromittierten Daten seien demnach unzutreffend gewesen.

In der aktualisierten Version spricht ShinyHunters nur noch von 260.000 entwendeten regulatorischen Einreichungsdokumenten von Versicherern. Außerdem entfernte die Gruppe Verweise auf Dienste, die laut NAIC gar nicht kompromittiert wurden. Die Kriminellen behaupten weiterhin, im Rahmen der Oracle-PeopleSoft-Kampagne mehr als 100 Organisationen angegriffen zu haben.

Als weiteres mögliches Opfer wird auch die University of Nottingham genannt. Sie soll Berichten zufolge von derselben Operation betroffen sein, hat in ihrer öffentlichen Offenlegung des Vorfalls jedoch PeopleSoft nicht erwähnt.