Der Konzern 7-Eleven, gegründet 1927 und mit über 86.000 Filialen weltweit vertreten, bestätigt damit eine der größeren Datenpannen des Jahres. Die betroffenen Systeme waren Teil der Salesforce-Umgebung des Unternehmens – einer Cloud-Plattform, auf die Millionen von Firmen weltweit vertrauen. Besonders problematisch: 7-Eleven betrieb Treueprogramme mit über 100 Millionen Mitgliedern, deren Daten potenziell gefährdet sein könnten.
ShinyHunters ist keine unbekannte Gruppe. Die Cyberkriminellen haben sich in den vergangenen zwölf Monaten auf Salesforce-Kunden konzentriert und berichten von hunderten durchbrochenen Systemen. Sie waren bereits an Angriffen auf die Europäische Kommission, den Videodienst Vimeo, das Edtech-Unternehmen McGraw-Hill, den Medizintechnikhersteller Medtronic und sogar Rockstar Games beteiligt.
Besonders bemerkenswert ist die Reaktion der Gruppe: Nachdem 7-Eleven Erpressungsforderungen nicht nachkam, veröffentlichte ShinyHunters das gestohlene Datenpaket im Dark Web. Das Unternehmen bestätigte zwar die Bresche, gab aber keine Details über die Anzahl betroffener Personen preis – eine Informationslücke, die Fragen zur Transparenz aufwirft.
Das FBI warnte vergangene Woche ausdrücklich vor Zahlungen an Erpresser, da diese nicht garantieren, dass gestohlene Daten nicht weitergegeben werden. Ein Rat, dem viele Unternehmen nicht folgen: Der Fall zeigt auch, dass Ransomware- und Extortiongangs wie ShinyHunters ihre Taktiken erfolgreich weiterentwickeln.
Für deutsche Unternehmen und Behörden ergibt sich aus dieser Bresche eine wichtige Lektion: Die Abhängigkeit von Cloud-Plattformen erfordert verstärkte Sicherheitskontrollen. Das BSI empfiehlt kontinuierliche Sicherheitsüberwachung und Multi-Faktor-Authentifizierung. Zudem müssen deutsche Datenschutzverantwortliche – falls deutsche Nutzer betroffen sind – gemäß DSGVO innerhalb von 72 Stunden die Datenschutzbehörde informieren und drohen Bußgelder von bis zu 4 Prozent des Jahresumsatzes.