ShinyHunters hackt (weer!) software voor personeels- en studentgegevens

ShinyHunters heeft inmiddels een stevig trackrecord opgebouwd als het gaat om aanvallen op bedrijfssoftware. Begin mei werd het onderwijsplatform Canvas gehackt, waarbij gegevens zoals studentnummers, namen en e-mailadressen van 275 miljoen studenten en docenten wereldwijd werden buitgemaakt. Een maand eerder was Rockstar Games, de ontwikkelaar van Grand Theft Auto, het slachtoffer. Daarbij zouden vooral interne analysegegevens zijn buitgemaakt. Daarbij zouden de hackers met gestolen toegangstokens van SaaS-leverancier Anodot inzage hebben gekregen in gegevens die waren opgeslagen op het cloudplatform Snowflake. SaaS staat voor Software as a Service, oftewel software die via internet wordt gebruikt.

Maar in Nederland is ShinyHunters vooral bekend door de enorme Odido-hack. Daarbij werden begin 2026 gegevens van meer dan 6,5 miljoen personen en ongeveer 600.000 bedrijven buitgemaakt. Volgens analyses ging het onder meer om informatie uit de Salesforce-omgeving van het telecombedrijf, het klantcontactsysteem waarin grote hoeveelheden klantgegevens zijn opgeslagen.

Die voorbeelden laten zien waarom de aanvallen op PeopleSoft serieus moeten worden genomen. Net als Salesforce, Snowflake en Canvas is PeopleSoft software die binnen organisaties vaak een centrale rol speelt. Juist daardoor bevat het systeem vaak grote hoeveelheden gevoelige gegevens: het gaat dan vaka niet alleen om persoonlijke informatie, maar ook over financiële gegevens.

De naam PeopleSoft zal veel consumenten weinig zeggen, maar bij grote organisaties wordt de software nog altijd gebruikt voor personeels-, salaris- en studentadministratie. Vooral in het hoger onderwijs is het systeem nog op veel plekken aanwezig.. Zo werken de Universiteit van Amsterdam, de Hogeschool van Amsterdam en de Universiteit (via het SaNS-samenwerkingsverband) bijvoorbeeld met een studenteninformatiesysteem dat gebaseerd is op Oracle PeopleSoft Campus Solutions. Dat systeem wordt ingezet voor zaken als inschrijvingen, studievoortgang, roosters en studentadministratie. Meer dan 120.000 studenten en cursisten en ongeveer 10.000 medewerkers maken dagelijks gebruik van het platform.

Ook buiten het onderwijs wordt PeopleSoft nog actief gebruikt. Op verschillende informatiepagina's en formulieren van Defensie wordt bijvoorbeeld verwezen naar een PeopleSoft-nummer dat medewerkers, reservisten, veteranen en andere betrokkenen moeten opgeven.

Dat PeopleSoft nog zo veel voorkomt, heeft een eenvoudige reden. Veel organisaties gebruiken het systeem al jarenlang en hebben er talloze koppelingen, werkprocessen en historische data aan verbonden. Een overstap naar een moderner cloudplatform kan daardoor jaren duren en miljoenen euro's kosten. Organisaties kiezen daarom vaak voor onderhoud en modernisering van hun bestaande omgeving in plaats van een volledige vervanging. Oracle blijft bovendien investeren in PeopleSoft. Het bedrijf heeft aangekondigd het platform ten minste tot 2036 te blijven ondersteunen.

Op moment van schrijven is het nog niet bekend of er Nederlandse bedrijven, onderwijsinstellingen of overheidsorganisaties onder de slachtoffers zijn. Wel laat deze aanval opnieuw zien hoe kwetsbaar veelgebruikte bedrijfssoftware kan zijn. Zeker als zulke systemen worden gebruikt voor personeelsgegevens, financiële administratie of studentinformatie, kan een aanval snel grote gevolgen hebben.