In den Benachrichtigungsschreiben an betroffene Kunden teilte 7-Eleven mit, dass ein unbefugter Dritter Zugriff auf bestimmte Systeme erlangt habe, in denen Franchisenehmer-Dokumente gespeichert werden. „Wir haben kürzlich festgestellt, dass am 8. April 2026 ein unbefugter Dritter Zugriff auf bestimmte 7-Eleven-Systeme erlangt hat, die zur Speicherung von Franchisenehmer-Dokumenten verwendet werden", erklärte das Unternehmen. Eine konkrete Zahl der Betroffenen nannte 7-Eleven nicht.
Das Unternehmen hat den Angriff keiner bestimmten Hackergruppe zugeschrieben und keine weiteren Details genannt. ShinyHunters reklamierte die Tat jedoch für sich. Die Gruppe gibt an, nach einem Einbruch in die Salesforce-Umgebung von 7-Eleven mehr als 600.000 Datensätze mit Unternehmensdaten und personenbezogenen Informationen erbeutet zu haben.
Nachdem das Unternehmen sich nach Darstellung der Gruppe geweigert habe, ein Lösegeld für die Rückgabe und Vernichtung der Daten zu zahlen, veröffentlichten die Kriminellen ein 9,4 GB großes Archiv auf ihrer Leak-Seite im Darknet. Ein Sprecher von 7-Eleven reagierte nicht auf die Anfrage von BleepingComputer, die Angaben von ShinyHunters zu bestätigen oder die Zahl der Betroffenen zu nennen.
Have I Been Pwned wertete die geleakten Daten aus und kommt auf 185.300 betroffene Personen. Offengelegt wurden demnach Namen, Geburtsdaten, eindeutige E-Mail-Adressen, Telefonnummern und Postanschriften; eine kleine Zahl von Datensätzen enthielt zusätzliche Datenfelder. Der Dienst verwies darauf, dass die spätere Aussage des Unternehmens, der Vorfall sei auf Systeme zur Speicherung von Franchisenehmer-Dokumenten beschränkt gewesen, mit den offengelegten Daten übereinstimme.
7-Eleven war bereits zuvor von einem Sicherheitsvorfall betroffen: 7-Eleven Dänemark bestätigte im August 2022 einen Ransomware-Angriff, bei dem Angreifer Systeme verschlüsselten und die Kette zur Schließung von 175 Filialen zwangen.
ShinyHunters nimmt seit etwa einem Jahr Salesforce-Kunden ins Visier und drang nach eigenen Angaben in Hunderte Unternehmen ein; im Rahmen der sogenannten Salesforce-Aura-Datendiebstähle und der Salesloft-Drift-Kampagne will die Gruppe Milliarden von Datensätzen gestohlen haben. Zu weiteren jüngst von ShinyHunters reklamierten Angriffen zählen unter anderem die Europäische Kommission, der Videodienst Vimeo, die Modehändler Zara und MANGO, der Bildungsverlag McGraw-Hill, der Sicherheitsdienstleister ADT, der Medizintechnikhersteller Medtronic, PornHub, Rockstar Games, Match Group sowie Cisco und Google.
Das FBI riet den Opfern von ShinyHunters, den Forderungen der Täter nicht nachzugeben. Zuvor hatte die Behörde gewarnt, dass die Zahlung eines Lösegelds nicht garantiere, dass die Täter die gestohlenen Daten nicht doch an andere Kriminelle verkauften oder die Opfer erneut erpressten.
