Il gruppo di cybercriminalità ShinyHunters ha aggiunto diverse grandi aziende, tra cui Zara, Carnival e 7-Eleven, al suo sito di fuga dati come parte di una campagna di estorsione in corso contro le organizzazioni attraverso un modello “pay or leak”.
Secondo i rapporti, il gruppo ha avvertito che i dati legati a più aziende potrebbero essere pubblicati se non verranno soddisfatti i richiesti di riscatto. La campagna segue un modello in cui le vittime sono elencate pubblicamente insieme alle scadenze per il pagamento, dopo le quali i dati vengono rilasciati o messi in vendita.
L’ultima attività include affermazioni secondo cui oltre 9 milioni di record potrebbero essere a rischio nelle organizzazioni coinvolte. Questi dati non sono stati verificati in modo indipendente e non è stata confermata pubblicamente alcuna analisi dettagliata dei presunti dataset.
La società madre di Zara, Inditex, ha confermato che si è verificato un incidente di sicurezza ma ha dichiarato che era collegato a un fornitore di servizi terze parti piuttosto che ai suoi sistemi interni. L’azienda ha affermato che le informazioni esposte riguardano le operazioni aziendali e non includono dati dei clienti come nomi, dati di contatto o dati di pagamento.
Allo stesso tempo, ShinyHunters ha inserito Zara nel suo sito di leak, dichiarando di intendere rilasciare i dati entro pochi giorni se non verranno soddisfatte le condizioni. Le affermazioni non sono state verificate in modo indipendente e l’entità di qualsiasi esposizione è ancora in fase di esame.
Anche Carnival e 7-Eleven sono stati nominati nella stessa campagna, anche se non sono state identificate dichiarazioni ufficiali che confermano violazioni da parte di queste aziende nei rapporti disponibili. L’entità di eventuali incidenti che riguardano tali organizzazioni non è stata resa pubblica in dettaglio.
ShinyHunters è noto per prendere di mira servizi cloud e piattaforme software per ottenere dati aziendali, spesso utilizzando credenziali compromesse o token di accesso piuttosto che sfruttare vulnerabilità dirette. Una volta ottenuto l’accesso, il gruppo estrae dataset e li utilizza in tentativi di estorsione.
L’attività del gruppo fa parte di una serie più ampia di incidenti nel 2026 che coinvolgono molteplici organizzazioni di diversi settori, tra cui retail, viaggi e tecnologia. In molti casi, gli attacchi hanno coinvolto sistemi di terze parti o fornitori di servizi esterni piuttosto che intrusioni dirette nell’infrastruttura aziendale.
Non sono stati resi pubblici dettagli tecnici su come sia stato ottenuto l’accesso negli ultimi casi. Le indagini sulle affermazioni e la verifica di eventuali dati esposti sono in corso.