Gemakswinkelgigant 7-Eleven heeft een datalek bevestigd waarbij de persoonlijke informatie van meer dan 185.000 personen werd blootgelegd na een cyberaanval die gelinkt was aan de afpersingsgroep ShinyHunters.
De inbraak werd voor het eerst ontdekt op 8 april 2026, nadat aanvallers ongeautoriseerde toegang kregen tot systemen die werden gebruikt om franchisegenoot-gerelateerde documenten op te slaan, volgens meldingen van het datalek die door het bedrijf waren ingediend. 7-Eleven zei dat de gecompromitteerde systemen gevoelige persoonlijke informatie bevatten die tijdens de franchise-aanvraag- en beheerprocessen was ingediend.
HaveIBeenPwned voegde het incident later toe aan zijn datalekmeldingsdatabase en meldde dat 185.300 unieke e-mailadressen waren blootgelegd in het lek. De gecompromitteerde gegevens bevatten naar verluidt namen, fysieke adressen, telefoonnummers, geboortedata en andere persoonlijk identificeerbare informatie. Sommige records bevatten ook extra gevoelige velden.
De cybercrimegroep ShinyHunters eiste in april de verantwoordelijkheid op voor de aanval en beweerde dat zij meer dan 600.000 Salesforce-records had gestolen die verband hielden met 7-Eleven-operaties. De groep publiceerde later een archief van 9,4 GB met gestolen bestanden op haar dark web-leksite nadat losgeldonderhandelingen naar verluidt waren mislukt.
Volgens berichten beweerden de aanvallers dat de gestolen dataset interne bedrijfsdocumenten bevatte, naast informatie over klanten en franchisenemers. Beveiligingsonderzoekers denken dat het incident mogelijk verband houdt met een bredere campagne die zich richt op Salesforce-omgevingen via phishingaanvallen, gestolen inloggegevens of misbruikte integraties van derden, in plaats van kwetsbaarheden binnen Salesforce zelf.
7-Eleven heeft de volledige omvang van de blootgestelde data niet publiekelijk bevestigd of de aanval officieel toegeschreven aan ShinyHunters. Het bedrijf erkende echter dat er ongeautoriseerde toegang was en zei dat het direct na het ontdekken van de inbraak een onderzoek is gestart. De retailer schakelde ook externe cybersecurityspecialisten in en informeerde wetshandhavingsinstanties.
Het bedrijf verklaarde dat er momenteel geen bewijs is dat klantbetalingssystemen of kernactiviteiten in de detailhandel tijdens het incident zijn getroffen. 7-Eleven benadrukte ook dat de inbreuk een “beperkt aantal” huidige, voormalige en potentiële franchisenemers trof.
Getroffenen krijgen tot twee jaar bescherming tegen identiteitsdiefstal en dark web-monitoringdiensten aangeboden. Beveiligingsexperts raden aan dat getroffen gebruikers financiële overzichten monitoren, multifactorauthenticatie inschakelen en voorzichtig blijven met phishingpogingen die verwijzen naar gelekte persoonlijke informatie.
Het incident voegt zich toe aan een groeiende lijst van cyberaanvallen die gelinkt zijn aan ShinyHunters, een dreigingsgroep die bekend staat om het aanvallen van grote bedrijven en cloudplatforms. De groep heeft eerder de verantwoordelijkheid opgeëist voor aanvallen op bedrijven als ADT, Vimeo, Medtronic en Instructure als onderdeel van bredere campagnes voor datadiefstal en afpersing.