Laut BleepingComputer setzte der Angreifer den Versand früh an einem Mittwochmorgen in Gang. Die erste Nachricht kam von support@hungerrush.com und forderte HungerRush auf, die Erpressungsversuche nicht länger zu ignorieren. “Sie können nicht all meine Forderungen ignorieren und erwarten, dass ich keine schädlichen Maßnahmen ergreife. Sie haben noch Zeit”, hieß es darin. Der Täter behauptete, die Daten von Restaurants und deren Kunden, die in die Millionen gingen, seien in Gefahr.
Eine zweite E-Mail folgte rund drei Stunden später vom Absender “2019@hungerrush.com” und verschärfte die Drohung. Der Angreifer gab an, Zugriff auf Datensätze von Millionen Kunden zu haben, die Namen, E-Mail-Adressen, Passwörter, Anschriften, Telefonnummern, Geburtsdaten und Kreditkarteninformationen enthielten.
Die Analyse der E-Mail-Header durch BleepingComputer ergab, dass die Nachrichten über Twilio SendGrid zugestellt wurden – einen Dienst, der nach Angaben von Kunden zuvor zum Versand von HungerRush-Restaurantbelegen genutzt worden war. Versendet wurden sie über o10.e.hungerrush.com (159.183.129.119), das auf Infrastruktur von Twilio SendGrid verweist. Die Header bestätigen zudem, dass die Nachrichten die SPF-, DKIM- und DMARC-Prüfungen für die Domain hungerrush.com bestanden, da der SPF-Eintrag des Unternehmens SendGrid zum Versand in seinem Namen autorisiert. Auch auf Reddit berichteten zahlreiche Nutzer, die Mails erhalten zu haben.
Alon Gal, Mitgründer und CTO von Hudson Rock, verwies auf LinkedIn auf Infostealer-Protokolle, denen zufolge das Gerät eines HungerRush-Mitarbeiters im Oktober 2025 mit einem Infostealer infiziert worden sein soll. Die Schadsoftware habe zahlreiche Unternehmenszugangsdaten gestohlen, darunter für NetSuite, QuickBooks-bezogene Dienste, Stripe-Dashboards, das Lieferanten-Zahlungssystem Bill.com, Visa Online und Salesforce-Umgebungen.
HungerRush bestätigte gegenüber BleepingComputer, von dem Vorfall zu wissen, und erklärte, man untersuche die Lage in Abstimmung mit den zuständigen Behörden. Man arbeite daran, das Ausmaß zu verstehen und das Problem zu beheben; der Schutz der Daten von Kunden und deren Endkunden habe oberste Priorität.
In einer späteren Aktualisierung stellte das Unternehmen klar, dass der Vorfall nicht mit der von Gal beschriebenen Infostealer-Infektion zusammenhänge. Stattdessen habe der Angreifer kompromittierte Zugangsdaten eines Drittanbieters genutzt, um in das Konto des E-Mail-Marketingdienstes einzudringen. Dadurch habe er Zugriff auf Kundenkontaktdaten erlangt – darunter Namen, E-Mail-Adressen, Postanschriften und Telefonnummern –, die für den unbefugten Versand verwendet wurden.
Die Behauptungen des Täters weist HungerRush zurück: Sensible persönliche oder finanzielle Daten wie Passwörter, Geburtsdaten, Sozialversicherungsnummern oder Zahlungskartendaten seien nicht offengelegt worden. Kreditkartendaten würden ohnehin nicht in den eigenen Systemen gespeichert. Es gebe auch keine Hinweise darauf, dass weitere Systeme betroffen seien; der Zugriff sei auf den E-Mail-Marketingdienst beschränkt geblieben. Vorsorglich habe HungerRush den Zugang zu dem betroffenen Dienst deaktiviert, um weitere unbefugte Nachrichten zu verhindern.
Kunden von Restaurants mit HungerRush-Kassensystemen sollten vorerst auf mögliche Phishing-Mails und SMS achten, die die potenziell gestohlenen Informationen ausnutzen.
