Die Cyberkriminalitätsgruppe ShinyHunters hat mehrere große Unternehmen, darunter Zara, Carnival und 7-Eleven, zu ihrer Datenleckseite hinzugefügt, als Teil einer laufenden Erpressungskampagne, die Organisationen im Rahmen eines “Pay or Leak”-Modells anspricht.
Berichten zufolge warnte die Gruppe, dass Daten, die mit mehreren Unternehmen in Verbindung stehen, veröffentlicht werden könnten, falls Lösegeldforderungen nicht erfüllt werden. Die Kampagne folgt einem Muster, bei dem Opfer öffentlich neben Zahlungsfristen aufgeführt werden, danach werden Daten veröffentlicht oder zum Verkauf angeboten.
Die jüngste Aktivität umfasst Behauptungen, dass mehr als 9 Millionen Datensätze in den betroffenen Organisationen gefährdet sein könnten. Diese Zahlen wurden nicht unabhängig überprüft, und eine detaillierte Aufschlüsselung der angeblichen Datensätze wurde öffentlich nicht bestätigt.
Die Muttergesellschaft von Zara, Inditex, bestätigte, dass ein Sicherheitsvorfall stattgefunden habe, erklärte jedoch, dass dieser mit einem Drittanbieter und nicht mit den internen Systemen verbunden sei. Das Unternehmen erklärte, dass sich die offengelegten Informationen auf Geschäftsabläufe beziehen und keine Kundendaten wie Namen, Kontaktdaten oder Zahlungsinformationen enthalten.
Gleichzeitig hat ShinyHunters Zara auf seiner Leak-Seite gelistet und erklärt, dass es beabsichtigt, die Daten innerhalb weniger Tage freizugeben, falls die Bedingungen nicht erfüllt werden. Die Behauptungen wurden nicht unabhängig überprüft, und das Ausmaß der Exposition wird weiterhin überprüft.
Carnival und 7-Eleven wurden ebenfalls in derselben Kampagne genannt, obwohl in den verfügbaren Berichten keine offiziellen Erklärungen zur Bestätigung von Sicherheitsverletzungen durch diese Unternehmen identifiziert wurden. Das Ausmaß möglicher Vorfälle, die diese Organisationen betreffen, wurde nicht öffentlich dargelegt.
ShinyHunters ist dafür bekannt, Cloud-Dienste und Softwareplattformen gezielt zu nutzen, um Unternehmensdaten zu erhalten, oft mit kompromittierten Zugangsdaten oder Zugriffstoken, anstatt direkte Schwachstellen auszunutzen. Sobald der Zugang erlangt ist, extrahiert die Gruppe Datensätze und verwendet sie für Erpressungsversuche.
Die Aktivitäten der Gruppe sind Teil einer größeren Reihe von Vorfällen im Jahr 2026, an denen mehrere Organisationen aus verschiedenen Sektoren beteiligt sind, darunter Einzelhandel, Reisen und Technologie. In vielen Fällen betrafen die Angriffe Drittsysteme oder externe Dienstanbieter, anstatt direkte Eindringlinge in die Unternehmensinfrastruktur einzubrechen.
Technische Details darüber, wie in den jüngsten Fällen Zugang erlangt wurde, wurden nicht öffentlich bekanntgegeben. Untersuchungen zu den Behauptungen und die Überprüfung aller offengelegten Daten laufen weiterhin.