O grupo de crimes cibernéticos ShinyHunters adicionou várias grandes empresas, incluindo Zara, Carnival e 7-Eleven, ao seu site de vazamento de dados como parte de uma campanha contínua de extorsão direcionada a organizações por meio de um modelo “pay or leak”.
Segundo reportagens, o grupo alertou que dados ligados a múltiplas empresas poderiam ser publicados caso as exigências de resgate não fossem atendidas. A campanha segue um padrão em que as vítimas são listadas publicamente junto com prazos de pagamento, após os quais os dados são liberados ou oferecidos para venda.
A atividade mais recente inclui alegações de que mais de 9 milhões de registros podem estar em risco entre as organizações afetadas. Esses números não foram verificados de forma independente, e nenhuma análise detalhada dos supostos conjuntos de dados foi confirmada publicamente.
A empresa-mãe da Zara, Inditex, confirmou que ocorreu um incidente de segurança, mas afirmou que estava vinculado a um provedor de serviços terceirizado, e não aos seus sistemas internos. A empresa afirmou que as informações expostas se referem às operações comerciais e não incluem dados de clientes, como nomes, dados de contato ou informações de pagamento.
Ao mesmo tempo, a ShinyHunters listou a Zara em seu site de vazamento, afirmando que pretende liberar dados em poucos dias caso as condições não sejam atendidas. As alegações não foram verificadas de forma independente, e a extensão de qualquer exposição ainda está sob análise.
Carnival e 7-Eleven também foram nomeadas na mesma campanha, embora nenhuma declaração oficial confirmando violações dessas empresas tenha sido identificada nos relatórios disponíveis. O alcance de quaisquer incidentes potenciais que afetem essas organizações não foi detalhado publicamente.
A ShinyHunters é conhecida por direcionar serviços em nuvem e plataformas de software para obter dados corporativos, frequentemente usando credenciais comprometidas ou tokens de acesso em vez de explorar vulnerabilidades diretas. Uma vez obtido o acesso, o grupo extrai conjuntos de dados e os utiliza em tentativas de extorsão.
A atividade do grupo faz parte de uma série mais ampla de incidentes em 2026 envolvendo múltiplas organizações de diversos setores, incluindo varejo, viagens e tecnologia. Em muitos casos, os ataques envolveram sistemas de terceiros ou provedores de serviços externos, em vez de intrusões diretas na infraestrutura da empresa.
Nenhum detalhe técnico sobre como o acesso foi obtido nos casos mais recentes foi divulgado publicamente. Investigações sobre as alegações e a verificação de quaisquer dados expostos continuam em andamento.