De cybercrimegroep ShinyHunters heeft verschillende grote bedrijven, waaronder Zara, Carnival en 7-Eleven, toegevoegd aan haar dataleksite als onderdeel van een lopende afpersingscampagne die organisaties richt via een “pay or leak”-model.
Volgens berichten waarschuwde de groep dat gegevens die aan meerdere bedrijven gekoppeld zijn, gepubliceerd kunnen worden als losgeldeisen niet worden nagekomen. De campagne volgt een patroon waarbij slachtoffers publiekelijk worden vermeld naast betalingsdeadlines, waarna gegevens worden vrijgegeven of te koop aangeboden.
De meest recente activiteit omvat beweringen dat meer dan 9 miljoen records mogelijk risico lopen bij de getroffen organisaties. Deze cijfers zijn niet onafhankelijk geverifieerd en er is geen gedetailleerde uitsplitsing van de vermeende datasets openbaar bevestigd.
Het moederbedrijf van Zara, Inditex, bevestigde dat er een beveiligingsincident had plaatsgevonden, maar verklaarde dat het verband hield met een externe dienstverlener in plaats van aan de interne systemen. Het bedrijf zei dat de blootgelegde informatie betrekking heeft op bedrijfsactiviteiten en geen klantgegevens bevat zoals namen, contactgegevens of betalingsinformatie.
Tegelijkertijd heeft ShinyHunters Zara op zijn leksite vermeld en aangegeven dat het van plan is binnen enkele dagen gegevens vrij te geven als aan de voorwaarden niet wordt voldaan. De beweringen zijn niet onafhankelijk geverifieerd en de omvang van eventuele blootstelling wordt nog onderzocht.
Carnival en 7-Eleven zijn ook genoemd in dezelfde campagne, hoewel er in de beschikbare rapportages geen officiële verklaringen zijn geïdentificeerd die inbreuken van die bedrijven bevestigen. De omvang van mogelijke incidenten die deze organisaties treffen, is niet openbaar gedetailleerd.
ShinyHunters staat bekend om het targeten van clouddiensten en softwareplatforms om bedrijfsgegevens te verkrijgen, vaak met gecompromitteerde inloggegevens of toegangstokens in plaats van directe kwetsbaarheden te benutten. Zodra toegang is verkregen, haalt de groep datasets uit en gebruikt deze bij afpersingspogingen.
De activiteiten van de groep maken deel uit van een bredere reeks incidenten in 2026 waarbij meerdere organisaties in verschillende sectoren betrokken zijn, waaronder detailhandel, reizen en technologie. In veel gevallen betroffen de aanvallen systemen van derden of externe dienstverleners, in plaats van directe inbraken in bedrijfsinfrastructuur.
Er zijn geen technische details openbaar gemaakt over hoe toegang in de laatste zaken is verkregen. Onderzoeken naar de beweringen en verificatie van blootgestelde gegevens zijn nog gaande.