Le groupe de cybercriminalité ShinyHunters a ajouté plusieurs grandes entreprises, dont Zara, Carnival et 7-Eleven, à son site de fuites de données dans le cadre d’une campagne d’extorsion en cours visant les organisations via un modèle « pay or leak ».
Selon les rapports, le groupe a averti que des données liées à plusieurs entreprises pourraient être publiées si les demandes de rançon ne sont pas satisfaites. La campagne suit un schéma selon lequel les victimes sont listées publiquement en même temps que des délais de paiement, après quoi les données sont publiées ou mises en vente.
La dernière activité inclut des affirmations selon lesquelles plus de 9 millions de dossiers pourraient être menacés dans les organisations concernées. Ces chiffres n’ont pas été vérifiés de manière indépendante, et aucune analyse détaillée des ensembles de données allégués n’a été confirmée publiquement.
La société mère de Zara, Inditex, a confirmé qu’un incident de sécurité s’était produit mais a indiqué qu’il était lié à un fournisseur de services tiers plutôt qu’à ses systèmes internes. L’entreprise a indiqué que les informations exposées concernaient les opérations commerciales et n’incluaient pas les données clients telles que les noms, coordonnées ou informations de paiement.
Parallèlement, ShinyHunters a listé Zara sur son site de fuites, indiquant qu’il prévoit de publier les données dans les jours si les conditions ne sont pas remplies. Les affirmations n’ont pas été vérifiées de manière indépendante, et l’étendue de toute exposition reste en cours d’examen.
Carnival et 7-Eleven ont également été nommés dans la même campagne, bien qu’aucune déclaration officielle confirmant des violations de ces entreprises n’ait été identifiée dans les rapports disponibles. L’ampleur des incidents potentiels affectant ces organisations n’a pas été rendue publique.
ShinyHunters est connu pour cibler les services cloud et les plateformes logicielles afin d’obtenir des données d’entreprise, utilisant souvent des identifiants compromis ou des jetons d’accès plutôt que d’exploiter directement des vulnérabilités. Une fois l’accès acquis, le groupe extrait des jeux de données et les utilise dans des tentatives d’extorsion.
L’activité du groupe s’inscrit dans une série plus large d’incidents en 2026 impliquant plusieurs organisations dans divers secteurs, notamment le commerce de détail, le voyage et la technologie. Dans de nombreux cas, les attaques ont impliqué des systèmes tiers ou des fournisseurs de services externes plutôt que des intrusions directes dans l’infrastructure de l’entreprise.
Aucun détail technique sur la manière dont l’accès a été obtenu dans les derniers cas n’a été rendu public. Les enquêtes sur les affirmations et la vérification des données exposées sont en cours.