Unbekannte Angreifer verschickten Massen-E-Mails an Kunden von Restaurants, die HungerRush-Systeme nutzen, und forderten das Unternehmen unter Erpressungsdruck zur Reaktion auf. Die Täter behaupteten, Zugriff auf Millionen von Kundendaten zu haben.
Ein Bedrohungsakteur hat eine Erpressungskampagne gegen HungerRush gestartet, einen Anbieter von Point-of-Sale-Systemen, Online-Bestellplattformen und Zahlungsabwicklungslösungen für Restaurants. Das Unternehmen bedient über 16.000 Restaurants, darunter bekannte Ketten wie Sbarro und Jet’s Pizza.
Die Attacke begann am frühen Mittwochmorgen mit dem Versand von E-Mails an Restaurants und deren Kunden. Der erste Erpressungsbrief wurde vom Absender support@hungerrush.com versendet und forderte das Unternehmen auf, auf die Forderungen zu reagieren – andernfalls würden Kundendaten gefährdet. Der Angreifer behauptete, Zugriff auf Daten von Millionen von Kunden zu haben, einschließlich Namen, E-Mail-Adressen, Passwörter, Adressen, Telefonnummern, Geburtsdaten und Kreditkartendaten.
Laut einer Analyse von BleepingComputer wurden die E-Mails über Twilio SendGrid versendet – einen Dienst, den HungerRush regulär für Restaurant-Quittungen nutzt. Die Nachrichten stammten von der IP-Adresse 159.183.129.119 und bestanden alle Authentifizierungsprüfungen (SPF, DKIM, DMARC), da SendGrid in den SPF-Einträgen des Unternehmens autorisiert war.
Der Sicherheitsexperte Alon Gal von Hudson Rock veröffentlichte Hinweise, dass ein HungerRush-Mitarbeiter im Oktober 2025 mit einer Infosstealer-Malware infiziert wurde, was zum Diebstahl von Unternehmensanmeldedaten führte – darunter Zugänge zu NetSuite, QuickBooks, Stripe und Salesforce. HungerRush bestritt später jedoch einen Zusammenhang zwischen dieser älteren Infektion und dem aktuellen Vorfall.
Nach anfänglicher Stellungnahme aktualisierte HungerRush die Informationen: Der Angreifer habe nicht durch den Malware-Angriff, sondern durch kompromittierte Zugangsdaten eines Drittanbieter-Vendors Zugang zum E-Mail-Marketing-Service erlangt. Dies ermöglichte ihm, Kontaktinformationen (Namen, E-Mail-Adressen, Postadressen und Telefonnummern) einzusehen und zu missbrauchen.
HungerRush bestrieb allerdings, dass sensitive Daten wie Passwörter, Geburtsdaten, Sozialversicherungsnummern oder Zahlkarteninformationen offengelegt wurden. Das Unternehmen betonte auch, dass Kreditkartendaten nicht in seinen Systemen gespeichert sind. Die Sicherheitsverletzung sollte auf den E-Mail-Marketing-Service begrenzt bleiben.
Das Unternehmen bestätigte gegenüber BleepingComputer, die Behörden benachrichtigt und den Zugriff auf den betroffenen Service gesperrt zu haben, um weitere unautorisierten Nachrichten zu verhindern. Restaurant-Kunden wurden gewarnt, verstärkt auf Phishing-E-Mails und SMS-Nachrichten zu achten, die gestohlene Informationen missbrauchen könnten.
Quelle: BleepingComputer