Thought Leadership
Nach dem abgelaufenen Ultimatum hat die Hackergruppe ShinyHunters Millionen Datensätze von Zara, Mytheresa und 7-Eleven veröffentlicht.
Die als ShinyHunters bekannte Hackergruppe hat ihre Drohungen wahrgemacht und eine enorme Menge an gestohlenen Daten veröffentlicht, wie Cybernews berichtet. In einem koordinierten Schritt leerten die Angreifer ihre gesamte Opferliste auf der bandeigenen Leak-Seite. Betroffen sind namhafte Marken wie Zara, die Kreuzfahrtgesellschaft Carnival und der Einzelhandelsriese 7-Eleven. Besonders brisant ist die Aufnahme des Münchener Luxus-Onlinehändlers Mytheresa in die Liste der Geschädigten. Insgesamt wurden Aufzeichnungen von 40 Opfern publik gemacht, womit die Gruppe signalisiert, dass Verhandlungen mit den betroffenen Unternehmen offenbar gescheitert sind.
Die veröffentlichte Datenmenge ist immens. Nach ersten Schätzungen handelt es sich um etwa 38 Millionen Datensätze sowie mehrere Terabytes an internen Unternehmensdaten. Neben den genannten Großkonzernen finden sich in dem Paket auch Daten von Pitney Bowes und der Canada Life Assurance Company. Selbst der Grußkartenhersteller Hallmark, dessen Daten bereits Mitte April teilweise im Netz kursierten, wurde auf der Seite der Hacker erneut mit einem auffälligen Hinweis versehen. Die zeitliche Spanne der Opfer reicht zurück bis zum 23. Januar 2026, was auf eine langfristig angelegte Kampagne hindeutet.
Der Luxushändler Mytheresa im Fokus der Hacker
Ein prominentes Ziel der jüngsten Veröffentlichungswelle ist Mytheresa. Das deutsche Unternehmen, das über seine Plattform Designerlabels wie Gucci, Prada und Saint Laurent vertreibt, wurde laut Angaben der Hacker am 12. April 2026 kompromittiert. Obwohl der Name erst am Mittwoch offiziell auf der Leak-Seite erschien, hatten die Angreifer dem Unternehmen bereits eine letzte Warnung bis zum 14. April gesetzt. ShinyHunters forderte Mytheresa auf, über Lösegeldforderungen zu verhandeln, und drohte anderenfalls mit digitalen Problemen und der Veröffentlichung sensibler Kundendaten sowie Transaktionshistorien.
Da die Daten nun online verfügbar sind, muss davon ausgegangen werden, dass Mytheresa den Forderungen der Erpresser nicht nachgekommen ist. Für Kunden eines Luxusportals wie Mytheresa ist ein solcher Vorfall besonders kritisch, da Transaktionsdaten oft Rückschlüsse auf Kaufgewohnheiten und finanzielle Verhältnisse zulassen. Das Unternehmen hat sich bisher nicht im Detail zu dem Vorfall und dem Umfang der geleakten Informationen geäußert.
Vernetzte Kampagnen: Salesforce und Snowflake
Die Angriffe auf Zara und 7-Eleven lassen sich in einen größeren Kontext einordnen. Laut Sicherheitsforschern steht der Angriff auf Zara im Zusammenhang mit einer breiteren Kampagne, die Schwachstellen in der Anodot-Snowflake-Infrastruktur ausnutzt. 7-Eleven wiederum scheint Opfer einer gezielten Kampagne geworden zu sein, die auf Zugänge zum Salesforce-Ökosystem spezialisiert ist. Diese technischen Überschneidungen zeigen, dass ShinyHunters gezielt nach Einfallstoren in weit verbreiteten Cloud- und CRM-Systemen sucht, um mit einem Schlag Zugriff auf Kundendaten zahlreicher Firmen zu erhalten.
Interessant ist die Beobachtung, dass einige ursprünglich gelistete Unternehmen plötzlich von der Webseite der Hacker verschwunden sind. Ein prominentes Beispiel ist der Medizintechnikhersteller Medtronic. Noch am Freitag behauptete die Gruppe, im Besitz von neun Millionen personenbezogenen Datensätzen des Unternehmens zu sein. Da Medtronic nun nicht mehr auf der Liste erscheint und die Daten bisher nicht veröffentlicht wurden, spekulieren Experten über laufende Verhandlungen oder eine bereits erfolgte Lösegeldzahlung. Auch der Luxushotelbetreiber Aman Resorts und das Immobilienunternehmen Marcus & Millichap fehlen derzeit auf der Veröffentlichungsliste, obwohl sie zuvor als Opfer gehandelt wurden.
Strategie der dauerhaften Schädigung
Die Gruppe ShinyHunters verfolgt bei ihren Veröffentlichungen eine besonders rücksichtslose Strategie. Auf ihrer Informationsseite brüstet sich die Bande damit, die gestohlenen Daten unbefristet online zu halten. Ziel sei es, sicherzustellen, dass jeder Winkel der kriminellen Unterwelt Zugriff auf die Informationen erhält und diese für weiteren Missbrauch nutzen kann. Diese Form der digitalen Brandmarkung soll den Druck auf künftige Opfer erhöhen, Lösegeldforderungen sofort nachzugeben.
ShinyHunters ist in der Cybersicherheitswelt kein unbekannter Akteur. Die Gruppe ist bereits seit dem Jahr 2020 aktiv und wird mit zahlreichen hochkarätigen Datendiebstählen in Verbindung gebracht. Zuletzt machte sie durch eine Vishing-Kampagne aufmerksam, die gezielt auf Okta-Anmeldedaten für Single-Sign-On-Systeme abzielte. In der Vergangenheit zählten auch die Europäische Kommission, Rockstar Games und Ameriprise Financial zu den Zielen der Gruppe.
Für Nutzer der betroffenen Plattformen wie Zara oder Mytheresa bedeutet dieser Leak eine erhöhte Gefahr durch Phishing-Angriffe und Identitätsdiebstahl. Experten raten dazu, Passwörter zu ändern und auf verdächtige E-Mails oder Nachrichten zu achten, die Bezug auf vergangene Bestellungen oder Kontoinformationen nehmen könnten. Da die Daten nun in kriminellen Foren zirkulieren, ist davon auszugehen, dass sie für automatisierte Betrugsversuche genutzt werden.
Erstmeldung vom 20.04.2026: ShinyHunters drohen mit Leak von Millionen Datensätzen von Zara, Carnival und 7-Eleven
Die Hackergruppe ShinyHunters hat eine aktualisierte Erpresserliste auf ihrem Portal im Darknet veröffentlicht, wie Cybernews berichtete. Mit einer aggressiven „Pay or Leak“-Strategie fordern die Angreifer Lösegeldzahlungen von Schwergewichten der Weltwirtschaft. Neben der Modekette Zara und dem Kreuzfahrtriesen Carnival Corporation findet sich auch der Convenience-Store-Betreiber 7-Eleven auf der Liste der Bedrohten. Das Ultimatum ist kurz: Sollte bis zum 21. April 2026 keine Einigung erzielt werden, droht die Gruppe mit der vollständigen Veröffentlichung der gestohlenen Daten.
Die letzte Warnung der ShinyHunters
Die Rhetorik der Erpresser ist bewusst einschüchternd gewählt. In allen neun neuen Einträgen auf ihrer Leak-Seite, zu denen auch Unternehmen wie Medtronic und Pitney Bowes gehören, hinterließen die Hacker diese wortwörtlich übersetzte Nachricht:
„Dies ist eine letzte Warnung, uns bis zum 21. April 2026 zu kontaktieren, bevor wir [die Daten] veröffentlichen, zusammen mit mehreren ärgerlichen (digitalen) Problemen, die auf Sie zukommen werden. Treffen Sie die richtige Entscheidung, werden Sie nicht zur nächsten Schlagzeile.“
Hackergruppe ShinyHunters
Diese Drohung verdeutlicht das klassische Vorgehen moderner Ransomware-Banden. Es geht nicht mehr nur um die Verschlüsselung von Systemen, sondern primär um den Diebstahl sensibler Informationen, um Unternehmen durch die drohende öffentliche Bloßstellung zur Kasse zu bitten. Datenlecks, die personenbezogene Informationen (PII) enthalten, sind für Kriminelle besonders wertvoll, da sie als Grundlage für Identitätsdiebstahl und großflächige Phishing-Kampagnen dienen können.
Zara und die Schwachstelle im Cloud-Ökosystem
Für den spanischen Textilriesen Inditex, zu dem die Marke Zara gehört, ist der Angriff Teil einer größeren Welle, die Kunden der Cloud-Plattform Snowflake betrifft. ShinyHunters behaupten, über eine Kompromittierung des israelischen KI-Analyseunternehmens Anodot Zugriff auf die BigQuery-Instanzen von Zara erhalten zu haben. Dieser Vorfall unterstreicht das enorme Risiko in der modernen Software-Lieferkette (Supply Chain): Ein Sicherheitsleck bei einem spezialisierten Technologiedienstleister kann unmittelbare Auswirkungen auf die Daten von Weltkonzernen haben.
Inditex bestätigte bereits Mitte April gegenüber der spanischen Fachpresse, dass ein unbefugter Zugriff auf Datenbanken der Gruppe entdeckt wurde. Das Unternehmen betonte jedoch, dass dieser Vorfall auf einen ehemaligen Technologiedienstleister zurückzuführen sei und dass sensible Daten wie Passwörter oder Bankkarteninformationen nicht exponiert wurden. ShinyHunters widerspricht dieser Darstellung indirekt durch die Drohung, die Daten zu veröffentlichen, was darauf hindeutet, dass die Hacker mehr Informationen besitzen könnten, als Inditex bisher einräumt.
7-Eleven und der Missbrauch von Salesforce-Schnittstellen
Bei 7-Eleven scheint der Einbruchsweg ein anderer gewesen zu sein. Hier geben die Hacker an, über die Salesforce-Umgebung des Unternehmens eingedrungen zu sein. Dieser Angriffsweg ist Teil einer breit angelegten Kampagne, bei der ShinyHunters den sogenannten „Aura Inspector“ missbrauchen. Dabei handelt es sich um ein ursprünglich legitimes Tool, das von den Angreifern modifiziert wurde, um falsch konfigurierte API-Endpunkte in Salesforce-Umgebungen aufzuspüren.
In vielen Fällen ermöglichen diese Fehlkonfigurationen unauthentifizierten Zugriff auf CRM-Daten (Customer Relationship Management). Laut den Angaben der Hacker wurden bei 7-Eleven über 600.000 Datensätze mit personenbezogenen Informationen sowie interne Unternehmensdaten kompromittiert. 7-Eleven, das mittlerweile vollständig zur japanischen Seven & i Holdings gehört, betreibt weltweit über 85.000 Filialen und verwaltet entsprechend riesige Mengen an Kundendaten, was das Unternehmen zu einem primären Ziel für Cyber-Erpresser macht.
Carnival Corporation: Phishing als Einfallstor
Die Carnival Corporation, Weltmarktführer im Bereich Kreuzfahrten, komplettiert das Trio der prominenten Opfer. Hier behauptet ShinyHunters, mehr als 8,7 Millionen Datensätze mit PII sowie Terabytes an internen Firmendaten entwendet zu haben. In einer ersten Stellungnahme bestätigte Carnival, dass verdächtige Aktivitäten im Zusammenhang mit einem Phishing-Vorfall bei einem einzelnen Benutzerkonto festgestellt wurden.
Obwohl das Unternehmen angibt, den Zugriff schnell blockiert zu haben, zeigt dieser Fall, wie effektiv Social Engineering nach wie vor ist. Ein einziges kompromittiertes Konto kann in einer vernetzten Unternehmensumgebung ausreichen, um Zugriff auf weitreichende Cloud-Speicher oder Kollaborations-Tools zu erhalten. Angesichts von jährlich über 13 Millionen Gästen und einer Belegschaft von mehr als 160.000 Mitarbeitern ist das Potenzial für den Missbrauch gestohlener Identitätsdaten bei Carnival immens.
Ein systematisches Problem für globale Marken
Die aktuelle Offensive von ShinyHunters ist kein isoliertes Ereignis. Allein in den letzten Wochen meldete die Gruppe Erfolge bei Angriffen auf Rockstar Games, Amtrak und McGraw-Hill. Die Strategie der Hacker ist dabei hochgradig opportunistisch: Sobald eine neue Schwachstelle in einer weit verbreiteten Cloud-Lösung (wie Snowflake oder Salesforce) bekannt wird, scannen sie automatisiert das gesamte Internet nach potenziellen Opfern.
Besonders perfide ist dabei das Vorgehen nach gescheiterten Verhandlungen. Bei Unternehmen wie Amtrak oder McGraw-Hill, die sich weigerten, auf die Forderungen einzugehen, veröffentlichte die Gruppe kurz darauf Millionen von Datensätzen als „Racheakt“. Dies erhöht den Druck auf Zara, Carnival und 7-Eleven vor dem Ablauf des Ultimatums am 21. April.
APIs dringend prüfen
Für die betroffenen Unternehmen bedeutet dies nicht nur ein technisches Problem, sondern eine existenzielle Bedrohung für ihre Reputation und ein erhebliches rechtliches Risiko. Gemäß der DSGVO und anderen internationalen Datenschutzgesetzen drohen bei mangelhafter Sicherung von Kundendaten empfindliche Bußgelder. Experten raten Unternehmen dazu, ihre Drittanbieter-Schnittstellen (APIs) dringend zu prüfen und auf Phishing-resistente Multifaktor-Authentifizierung (MFA) umzustellen.
