A gigante de lojas de conveniência 7-Eleven confirmou uma violação de dados que expôs informações pessoais de mais de 185.000 pessoas após um ataque cibernético ligado ao grupo de extorsão ShinyHunters.
A violação foi detectada pela primeira vez em 8 de abril de 2026, após invasores obterem acesso não autorizado a sistemas usados para armazenar documentos relacionados a franqueados, de acordo com notificações de violação de dados apresentadas pela empresa. A 7-Eleven afirmou que os sistemas comprometidos continham informações pessoais sensíveis enviadas durante os processos de solicitação e gestão da franquia.
A HaveIBeenPwned posteriormente adicionou o incidente ao seu banco de dados de notificações de violação, relatando que 185.300 endereços de e-mail únicos foram expostos no vazamento. Os dados comprometidos supostamente incluem nomes, endereços físicos, números de telefone, datas de nascimento e outras informações pessoais identificáveis. Alguns registros também continham campos sensíveis adicionais.
O grupo de crimes cibernéticos ShinyHunters assumiu a responsabilidade pelo ataque em abril e alegou ter roubado mais de 600.000 registros da Salesforce ligados às operações do 7-Eleven. O grupo posteriormente publicou um arquivo de 9,4GB de arquivos roubados em seu site de vazamento da dark web, após supostas negociações de resgate fracassaram.
Segundo relatos, os atacantes alegaram que o conjunto de dados roubado incluía documentos internos da empresa, além de informações de clientes e franqueados. Pesquisadores de segurança acreditam que o incidente pode estar relacionado a uma campanha mais ampla que tem como alvo ambientes do Salesforce por meio de ataques de phishing, credenciais roubadas ou integrações abusadas de terceiros, em vez de vulnerabilidades dentro do próprio Salesforce.
A 7-Eleven não confirmou publicamente o alcance total dos dados expostos nem atribuiu oficialmente o ataque aos ShinyHunters. No entanto, a empresa reconheceu que ocorreu acesso não autorizado e afirmou que iniciou uma investigação imediatamente após a descoberta da invasão. O varejista também contratou especialistas externos em cibersegurança e notificou as agências de aplicação da lei.
A empresa afirmou que atualmente não há evidências de que os sistemas de pagamento dos clientes ou as operações principais de varejo tenham sido impactados durante o incidente. A 7-Eleven também enfatizou que a violação afetou um “número limitado” de franqueados atuais, antigos e potenciais.
Os indivíduos afetados estão recebendo até dois anos de serviços de proteção contra roubo de identidade e monitoramento da dark web. Especialistas em segurança recomendam que os usuários impactados monitorem demonstrações financeiras, habilitem a autenticação multifator e mantenham cautela com tentativas de phishing que mencionem informações pessoais vazadas.
O incidente se soma a uma lista crescente de ataques cibernéticos ligados à ShinyHunters, um grupo de ameaça conhecido por atacar grandes empresas e plataformas baseadas em nuvem. O grupo já reivindicou anteriormente a responsabilidade por ataques envolvendo empresas como ADT, Vimeo, Medtronic e Instructure como parte de campanhas mais amplas de roubo de dados e extorsão.