Crunchbase, een in de VS gevestigd business intelligence-platform dat informatie over private en beursgenoteerde bedrijven bijhoudt, heeft bevestigd dat het een datalek heeft gehad na beweringen van de cybercrimegroep ShinyHunters dat het meer dan 2 miljoen gegevens uit de systemen van het bedrijf heeft gestolen. De bevestiging kwam eind januari 2026 nadat de acteur een gecomprimeerd archief van vermeend gestolen gegevens op zijn dark-web leksite had geplaatst.
ShinyHunters is een financieel gemotiveerde cybercrimegroep die bekendstaat om het exfiltreren van grote hoeveelheden persoonlijke en bedrijfsgegevens en het openbaar plaatsen van vermeende slachtoffers op ondergrondse platforms als losgeldeisen niet worden ingewilligd. De groep verwierf voor het eerst bekendheid in 2020 en is in verband gebracht met een reeks spraakmakende datadiefstalincidenten die grote organisaties treffen.
Volgens beveiligingsrapportages publiceerde de groep een 402 MB gecomprimeerd archief van bestanden waarvan ze zeggen dat ze van Crunchbase waren meegenomen nadat het bedrijf weigerde afpersingsclaims te betalen. Het geplaatste archief vertegenwoordigt slechts een fractie van de totale data die de hackers beweren te hebben benaderd. Crunchbase erkende het incident en zei dat het een cyberbeveiligingsinbreuk had gedetecteerd waarbij documenten uit hun bedrijfsnetwerk onautoriseerd werden exfiltreerd. Het bedrijf zei dat de kernactiviteiten niet door het lek zijn verstoord en dat de systemen nu veilig zijn.
In een verklaring aan onafhankelijke verslaggeving zei Crunchbase dat het onmiddellijk stappen heeft ondernomen om het incident in te dammen en externe cybersecurity-experts heeft ingeschakeld om te assisteren bij het onderzoek en de respons. Het bedrijf informeerde ook federale wetshandhavingsinstanties als onderdeel van de incidentresponsprocedures. Crunchbase zei dat het de blootgestelde bestanden onderzoekt om te bepalen welke gegevens zijn getroffen en of meldingen aan toezichthouders of getroffen partijen verplicht zijn volgens de toepasselijke wettelijke vereisten.
De eerste analyse van het openbaar beschikbare voorbeeld suggereert dat het gelekte materiaal persoonlijke gegevens bevat zoals namen, contactgegevens en bedrijfsinformatie. De volledige omvang van het lek en de categorieën van gecompromitteerde gegevens worden nog onderzocht. Er is tot nu toe geen aanwijzing dat wachtwoorden of andere gevoelige authenticatiegegevens in het geplaatste archief zijn opgenomen, maar onderzoeken zijn nog gaande.
De ShinyHunters-groep heeft ook de verantwoordelijkheid opgeëist voor soortgelijke datalekken bij andere bedrijven, waaronder het audiostreamingplatform SoundCloud en het financiële dienstverleningsbedrijf Betterment, als onderdeel van haar hernieuwde lekactiviteiten. Beide bedrijven hebben eerder cyberbeveiligingsincidenten bevestigd en evalueren elk zijn eigen exposure en reactie.
De bevestiging van Crunchbase is een van de weinige keren dat het bedrijf publiekelijk een inbreuk heeft erkend na claims van een cybercrimegroep. Het incident benadrukt de aanhoudende uitdagingen voor organisaties bij het beschermen van bedrijfsnetwerken en gevoelige bedrijfsgegevens tegen geavanceerde datadiefstal- en afpersingscampagnes. Onderzoek en herstelmaatregelen zijn gaande.