Thought Leadership
Die Hackergruppe ShinyHunters hat eine neue Liste prominenter Opfer veröffentlicht und setzt den Konzernen Zara, Carnival und 7-Eleven ein Ultimatum bis zum 21. April 2026. Betroffen sind potenziell über 9 Millionen sensible Datensätze sowie interne Firmengeheimnisse.
Die Hackergruppe ShinyHunters hat eine aktualisierte Erpresserliste auf ihrem Portal im Darknet veröffentlicht, wie Cybernews berichtete. Mit einer aggressiven „Pay or Leak“-Strategie fordern die Angreifer Lösegeldzahlungen von Schwergewichten der Weltwirtschaft. Neben der Modekette Zara und dem Kreuzfahrtriesen Carnival Corporation findet sich auch der Convenience-Store-Betreiber 7-Eleven auf der Liste der Bedrohten. Das Ultimatum ist kurz: Sollte bis zum 21. April 2026 keine Einigung erzielt werden, droht die Gruppe mit der vollständigen Veröffentlichung der gestohlenen Daten.
Die letzte Warnung der ShinyHunters
Die Rhetorik der Erpresser ist bewusst einschüchternd gewählt. In allen neun neuen Einträgen auf ihrer Leak-Seite, zu denen auch Unternehmen wie Medtronic und Pitney Bowes gehören, hinterließen die Hacker diese wortwörtlich übersetzte Nachricht:
„Dies ist eine letzte Warnung, uns bis zum 21. April 2026 zu kontaktieren, bevor wir [die Daten] veröffentlichen, zusammen mit mehreren ärgerlichen (digitalen) Problemen, die auf Sie zukommen werden. Treffen Sie die richtige Entscheidung, werden Sie nicht zur nächsten Schlagzeile.“
Hackergruppe ShinyHunters
Diese Drohung verdeutlicht das klassische Vorgehen moderner Ransomware-Banden. Es geht nicht mehr nur um die Verschlüsselung von Systemen, sondern primär um den Diebstahl sensibler Informationen, um Unternehmen durch die drohende öffentliche Bloßstellung zur Kasse zu bitten. Datenlecks, die personenbezogene Informationen (PII) enthalten, sind für Kriminelle besonders wertvoll, da sie als Grundlage für Identitätsdiebstahl und großflächige Phishing-Kampagnen dienen können.
Zara und die Schwachstelle im Cloud-Ökosystem
Für den spanischen Textilriesen Inditex, zu dem die Marke Zara gehört, ist der Angriff Teil einer größeren Welle, die Kunden der Cloud-Plattform Snowflake betrifft. ShinyHunters behaupten, über eine Kompromittierung des israelischen KI-Analyseunternehmens Anodot Zugriff auf die BigQuery-Instanzen von Zara erhalten zu haben. Dieser Vorfall unterstreicht das enorme Risiko in der modernen Software-Lieferkette (Supply Chain): Ein Sicherheitsleck bei einem spezialisierten Technologiedienstleister kann unmittelbare Auswirkungen auf die Daten von Weltkonzernen haben.
Inditex bestätigte bereits Mitte April gegenüber der spanischen Fachpresse, dass ein unbefugter Zugriff auf Datenbanken der Gruppe entdeckt wurde. Das Unternehmen betonte jedoch, dass dieser Vorfall auf einen ehemaligen Technologiedienstleister zurückzuführen sei und dass sensible Daten wie Passwörter oder Bankkarteninformationen nicht exponiert wurden. ShinyHunters widerspricht dieser Darstellung indirekt durch die Drohung, die Daten zu veröffentlichen, was darauf hindeutet, dass die Hacker mehr Informationen besitzen könnten, als Inditex bisher einräumt.
7-Eleven und der Missbrauch von Salesforce-Schnittstellen
Bei 7-Eleven scheint der Einbruchsweg ein anderer gewesen zu sein. Hier geben die Hacker an, über die Salesforce-Umgebung des Unternehmens eingedrungen zu sein. Dieser Angriffsweg ist Teil einer breit angelegten Kampagne, bei der ShinyHunters den sogenannten „Aura Inspector“ missbrauchen. Dabei handelt es sich um ein ursprünglich legitimes Tool, das von den Angreifern modifiziert wurde, um falsch konfigurierte API-Endpunkte in Salesforce-Umgebungen aufzuspüren.
In vielen Fällen ermöglichen diese Fehlkonfigurationen unauthentifizierten Zugriff auf CRM-Daten (Customer Relationship Management). Laut den Angaben der Hacker wurden bei 7-Eleven über 600.000 Datensätze mit personenbezogenen Informationen sowie interne Unternehmensdaten kompromittiert. 7-Eleven, das mittlerweile vollständig zur japanischen Seven & i Holdings gehört, betreibt weltweit über 85.000 Filialen und verwaltet entsprechend riesige Mengen an Kundendaten, was das Unternehmen zu einem primären Ziel für Cyber-Erpresser macht.
Carnival Corporation: Phishing als Einfallstor
Die Carnival Corporation, Weltmarktführer im Bereich Kreuzfahrten, komplettiert das Trio der prominenten Opfer. Hier behauptet ShinyHunters, mehr als 8,7 Millionen Datensätze mit PII sowie Terabytes an internen Firmendaten entwendet zu haben. In einer ersten Stellungnahme bestätigte Carnival, dass verdächtige Aktivitäten im Zusammenhang mit einem Phishing-Vorfall bei einem einzelnen Benutzerkonto festgestellt wurden.
Obwohl das Unternehmen angibt, den Zugriff schnell blockiert zu haben, zeigt dieser Fall, wie effektiv Social Engineering nach wie vor ist. Ein einziges kompromittiertes Konto kann in einer vernetzten Unternehmensumgebung ausreichen, um Zugriff auf weitreichende Cloud-Speicher oder Kollaborations-Tools zu erhalten. Angesichts von jährlich über 13 Millionen Gästen und einer Belegschaft von mehr als 160.000 Mitarbeitern ist das Potenzial für den Missbrauch gestohlener Identitätsdaten bei Carnival immens.
Ein systematisches Problem für globale Marken
Die aktuelle Offensive von ShinyHunters ist kein isoliertes Ereignis. Allein in den letzten Wochen meldete die Gruppe Erfolge bei Angriffen auf Rockstar Games, Amtrak und McGraw-Hill. Die Strategie der Hacker ist dabei hochgradig opportunistisch: Sobald eine neue Schwachstelle in einer weit verbreiteten Cloud-Lösung (wie Snowflake oder Salesforce) bekannt wird, scannen sie automatisiert das gesamte Internet nach potenziellen Opfern.
Besonders perfide ist dabei das Vorgehen nach gescheiterten Verhandlungen. Bei Unternehmen wie Amtrak oder McGraw-Hill, die sich weigerten, auf die Forderungen einzugehen, veröffentlichte die Gruppe kurz darauf Millionen von Datensätzen als „Racheakt“. Dies erhöht den Druck auf Zara, Carnival und 7-Eleven vor dem Ablauf des Ultimatums am 21. April.
APIs dringend prüfen
Für die betroffenen Unternehmen bedeutet dies nicht nur ein technisches Problem, sondern eine existenzielle Bedrohung für ihre Reputation und ein erhebliches rechtliches Risiko. Gemäß der DSGVO und anderen internationalen Datenschutzgesetzen drohen bei mangelhafter Sicherung von Kundendaten empfindliche Bußgelder. Experten raten Unternehmen dazu, ihre Drittanbieter-Schnittstellen (APIs) dringend zu prüfen und auf Phishing-resistente Multifaktor-Authentifizierung (MFA) umzustellen.
