ShinyHunters kündigte die Erpressung am 17. April an und forderte ein Lösegeld bis zum 21. April. Als das Unternehmen nicht zahlte, bot die Gruppe die Daten auf einem beliebten Hacker-Forum für 250.000 US-Dollar zum Verkauf an. Laut den Mitteilungen an die Maine Attorney General’s Office waren persönliche Daten betroffen, die während Franchise-Bewerbungen dem Unternehmen überlassen worden waren. 7-Eleven bestätigte, dass nur zwei Einwohner Maines direkt betroffen waren – eine Formulierung, die vermuten lässt, dass das wahre Ausmaß deutlich größer sein könnte.
Die Hacker-Gruppe ShinyHunters hat sich seit Mitte 2025 auf Salesforce-Instanzen großer Organisationen spezialisiert. Die bisherigen Eindringversuche resultierten nicht aus bekannten Schwachstellen in Salesforce selbst, sondern aus Phishing-Angriffen, missbräuchlicher Nutzung von Third-Party-Integrationen oder Fehlkonfigurationen. Dies ist ein kritisches Detail: Während Salesforce seine Plattform absichert, sind oftmals die Konfigurationen und Sicherheitsmaßnahmen der Kunden das schwache Glied.
ShinyHunters hat bereits zahlreiche namhafte Unternehmen ins Visier genommen. Neben 7-Eleven gehören dazu die Bildungsplattform Instructure, das Streaming-Unternehmen Vimeo, das Casino-Resort Wynn Resorts, die Entwicklerplattform Vercel und das Medizintechnik-Unternehmen Medtronic.
Für deutsche Organisationen ergibt sich aus diesem Vorfall eine wichtige Lektion: Die Absicherung von Salesforce und ähnlichen Cloud-Plattformen erfordert nicht nur korrekte Konfigurationen, sondern auch umfassende Schulungen der Mitarbeiter zum Schutz vor Phishing. Das BSI empfiehlt Unternehmen dringend, ihre Third-Party-Integrationen zu überprüfen und Multi-Faktor-Authentifizierung konsequent einzusetzen. Zudem sollten Unternehmen ihre Incident-Response-Pläne aktualisieren und sicherstellen, dass sie Datenpannen zeitnah an die zuständigen Behörden und betroffene Personen melden können – eine gesetzliche Verpflichtung, die bei Verstoß zu erheblichen Bußgeldern führt.