Morten Lyhne Petersen
7-Eleven har bekræftet et databrud, hvor hackergruppen ShinyHunters lækkede et arkiv med franchise-dokumenter.
Kioskkæden, der med over 86.000 butikker er verdens største af slagsen, oplyste i går, den 18. maj, at en uautoriseret tredjepart trængte ind i de interne systemer og stjal mere end 600.000 registreringer med personoplysninger og virksomhedsdata.
Indbruddet blev opdaget den 8. april og ramte systemer brugt til at opbevare dokumenter fra ansøgere til 7-Eleven-franchises, skriver BleepingComputer på baggrund af de breach-meddelelser, 7-Eleven har sendt til de berørte. Ni dage senere blev kæden listet på ShinyHunters’ lækage-side med en frist til at betale løsesum den 21. april.
Da fristen udløb uden aftale, lagde gruppen et 9,4 GB stort arkiv ud på dark web. “Virksomheden formåede ikke at indgå en aftale med os på trods af vores utrolige tålmodighed og alle de chancer og tilbud, vi gav”, lød meddelelsen fra hackerne.
Salesforce-miljø udnyttet, ikke en sårbarhed
De stjålne data stammer fra 7-Elevens Salesforce-miljø, hvor virksomheden opbevarer dokumenter indleveret af kommende franchisetagere. Indbruddet skyldes ikke et hul i Salesforces software, men derimod social manipulation rettet mod medarbejdere. Angrebene skyldtes “phishing, misbrug af tredjepartsintegrationer eller fejlkonfigurationer, snarere end sårbarheder i Salesforces produkter eller systemer”, oplyser SecurityWeek.
7-Eleven har endnu ikke oplyst det samlede antal berørte personer, men i delstaten Maine er kun to indbyggere registreret som ramt. Den globale opgørelse mangler stadig.
Samme bande knækkede skolernes Canvas
ShinyHunters har været aktiv siden 2019 og bruger typisk det, der i branchen kaldes voice phishing, altså opkald hvor angriberen udgiver sig for at være IT-support og lokker loginoplysninger ud af en medarbejder. Gruppen har stået bag nogle af de største databrud i nyere tid, blandt andet på Snowflake-kunder som AT&T og Ticketmaster, fremgår det af gruppens profil på Wikipedia.
For få uger siden ramte de samme hackere uddannelsesplatformen Canvas. ShinyHunters truede med at lække 3,65 terabyte data tilhørende mere end 275 millioner elever, lærere og ansatte fra knap 9.000 skoler verden over, skrev The Register den 12. maj. De stjålne oplysninger fra Canvas omfatter brugernavne, e-mailadresser, kursusnavne, tilmeldingsoplysninger og beskeder.
Mønsteret er det samme: en svaghed hos en medarbejder eller en integration udnyttes, data trækkes ud, og gruppen forhandler om løsesum med en offentlig deadline som pression.
Hvad det betyder for de danske butikker
7-Eleven Danmark drives som selvstændig franchise og er ikke direkte berørt af det globale brud. Men angrebsmønsteret er værd at notere sig for alle danske kæder, der bruger CRM-systemer som Salesforce. Indgangen går næsten altid via en medarbejder, ikke via et hul i selve platformen, og ShinyHunters har vist sig effektiv på tværs af brancher fra detailhandel til uddannelse.
Ifølge Security Affairs opererer gruppen ofte i samarbejde med en anden cybergruppe kendt som Scattered Spider, og det er kombinationen af telefonisk social manipulation og hurtig automatiseret dataeksfiltrering, der har gjort de seneste angreb svære at standse.
