Nach Darstellung des Konzerns wurde der Vorfall „am oder um den 6. Februar 2026" bekannt, als Hinweise auf einen möglichen unbefugten Zugriff auf bestimmte Partner-Central-Konten auftauchten. Die Untersuchung ergab, dass sich ein unbefugter Dritter über Webseiten, die Partner Central nachahmten, die Zugangsdaten der Beschäftigten beschafft und damit auf die Konten zugegriffen hatte.

Über die interne Plattform Partner Central verwalten die Mitarbeiter Anstellungsdetails, persönliche Angaben, Leistungen sowie HR-Informationen. Betroffen waren laut der gemeinsamen Untersuchung mit externen Cybersicherheitsexperten 889 dieser Konten. Zu den offengelegten Daten zählen Namen, Sozialversicherungsnummern, Geburtsdaten sowie Konto- und Bankleitzahlen.

Der Zugriff der Angreifer bestand nach Angaben von Starbucks zwischen dem 19. Januar und dem 11. Februar. Warum zwischen der Entdeckung am 6. Februar und dem Entfernen der Angreifer fünf Tage vergingen, ließ das Unternehmen offen.

Starbucks erklärte, nach Bekanntwerden des Vorfalls umgehend Schritte zur Untersuchung von Art und Umfang eingeleitet zu haben. Zudem habe man Strafverfolgungsbehörden informiert und Maßnahmen ergriffen, um die Sicherheitskontrollen für den Zugang zu Partner-Central-Konten weiter zu verstärken. Den Betroffenen riet das Unternehmen, ihre Bankkonten auf verdächtige Aktivitäten zu überwachen, die auf Betrug oder Identitätsdiebstahl hindeuten könnten. Außerdem stellt Starbucks den betroffenen Partnern für zwei Jahre einen kostenlosen Identitätsschutz und eine Kreditüberwachung über Experian IdentityWorks bereit.

BleepingComputer wandte sich mit Fragen zu dem Vorfall an einen Starbucks-Sprecher, erhielt jedoch zunächst keine Antwort.

Als weltweit größte Kaffeehauskette beschäftigt Starbucks nach eigenen Angaben mehr als 380.000 Menschen – intern „Partner" genannt – und betreibt rund 41.000 Filialen in 88 Ländern. Es ist nicht der erste Sicherheitsvorfall des Konzerns: Die Singapur-Sparte bestätigte im September 2022 ein Datenleck, von dem mehr als 219.000 Kunden betroffen waren, nachdem ein Angreifer die Systeme eines Drittanbieters kompromittiert hatte, der die Kundendaten speicherte. Im November 2024 traf den Konzern zudem die Folge eines Termite-Ransomware-Angriffs auf Blue Yonder, den Anbieter der Lieferketten-Software von Starbucks.