NAIC: Data yang Dicuri ShinyHunters dari Oracle PeopleSoft Hanya Berisi Informasi Publik

National Association of Insurance Commissioners (NAIC) menyatakan bahwa kelompok peretas ShinyHunters hanya berhasil mencuri data yang bersifat publik, log lama, serta file konfigurasi setelah mengeksploitasi kerentanan zero-day pada server Oracle PeopleSoft.

Pernyataan ini disampaikan sebagai tanggapan atas klaim ShinyHunters yang sebelumnya mengaku berhasil memperoleh data dalam jumlah besar dan mengompromikan sejumlah sistem penting milik organisasi tersebut.

Serangan Terjadi Melalui Celah Zero-Day PeopleSoft

NAIC merupakan organisasi regulator industri asuransi di Amerika Serikat yang beroperasi di seluruh 50 negara bagian.

Organisasi tersebut mengungkapkan bahwa pada 11 Juni 2026, mereka mendeteksi adanya akses tidak sah ke sistem Oracle PeopleSoft yang digunakan dalam lingkungan IT internal.

Investigasi selanjutnya mengonfirmasi bahwa pihak ketiga yang tidak berwenang berhasil mengakses sebagian sistem informasi milik NAIC.

Setelah organisasi menolak membayar uang tebusan, ShinyHunters kemudian mempublikasikan sebagian data yang diklaim berhasil dicuri.

NAIC Bantah Klaim Hacker

Dalam penjelasan resminya, NAIC menyatakan bahwa data yang berhasil diakses maupun dicuri sebagian besar terdiri dari:

• Laporan keuangan wajib perusahaan asuransi yang memang telah tersedia untuk publik.
• Data dari lembaga pemeringkat (credit rating agency).
• File log lama.
• Informasi konfigurasi sistem.

Berdasarkan hasil investigasi, tidak ditemukan bukti bahwa Personally Identifiable Information (PII) maupun data keuangan sensitif berhasil diakses oleh pelaku.

NAIC juga secara tegas membantah klaim ShinyHunters yang menyebut telah mengompromikan berbagai platform regulasi penting, termasuk:

• SERFF (System for Electronic Rate and Form Filing)
• OPTins (Online Premium Tax for Insurance)
• SBS (State-Based Systems)

Menurut NAIC, tidak ada bukti yang menunjukkan sistem-sistem tersebut berhasil ditembus.

Operasional Sempat Terdampak

Meski data sensitif diklaim tetap aman, insiden ini tetap memberikan dampak operasional.

Beberapa lembaga pemeringkat sempat menghentikan sementara pengiriman data kepada NAIC, sementara organisasi tersebut juga menunda sejumlah pekerjaan terkait penetapan investasi hingga proses investigasi selesai dilakukan.

ShinyHunters Klaim Kuasai 3,1 TB Data

Dalam pembaruan yang dipublikasikan pada 25 Juni 2026, ShinyHunters mengklaim telah mencuri sekitar 3,1 TB data yang terdiri dari sekitar 105.000 file.

Kelompok tersebut menyebut data yang dimiliki antara lain meliputi:

• Data dari server INSData dan Vision.
• Sekitar 264.000 dokumen PDF laporan regulator perusahaan asuransi periode 2017–2024.
• Sekitar 2.000 data pelanggan, pesanan, dan pembayaran.
• Sekitar 45.000 file milik lembaga pemeringkat.
• Konfigurasi infrastruktur AWS.
• Kredensial untuk lingkungan produksi SERFF, OPTins, dan UCAA.

Menariknya, ShinyHunters mengakui bahwa ringkasan data yang mereka publikasikan sebelumnya ternyata berlebihan karena menggunakan AI untuk menganalisis isi file, yang menghasilkan informasi tidak akurat atau AI hallucination.

Kelompok tersebut kemudian menyatakan bahwa inventaris terbaru telah diverifikasi secara manual oleh manusia sehingga diklaim lebih akurat.

Lebih dari 100 Organisasi Diduga Menjadi Korban

NAIC menyatakan seluruh sistem yang terdampak kini telah dipulihkan dan organisasi sedang menerapkan langkah-langkah keamanan tambahan untuk mencegah insiden serupa di masa mendatang.

Serangan terhadap NAIC merupakan bagian dari kampanye eksploitasi CVE-2026-35273, sebuah kerentanan zero-day pada Oracle PeopleSoft yang diduga telah dimanfaatkan ShinyHunters untuk menyerang lebih dari 100 organisasi.

Baik implementasi Oracle PeopleSoft berbasis cloud maupun instalasi on-premises dilaporkan menjadi target dalam rangkaian serangan tersebut. Sebagian besar korban diketahui berasal dari sektor pendidikan, meskipun organisasi di sektor lain juga turut terdampak.