ShinyHunters lekt vermeende gegevens van Qantas, Vietnam Airlines en andere grote bedrijven

De hackers, die zichzelf identificeren als " Scattered Lapsus$ Hunters ", een collectief dat elementen van Scattered Spider, Lapsus$ en ShinyHunters zou combineren, hebben nu gegevens gepubliceerd die naar verluidt toebehoren aan 6 van de 39 beoogde bedrijven.

De bedrijven die in het lek worden genoemd, zijn als volgt:

1. Fujifilm
2. GAP, INC.
3. Vietnam Airlines
4. Engie Resources
5. Qantas Airways Limited
6. Albertsons Companies, Inc.

Hoewel de getroffen bedrijven de enigen zijn die de inbreuk kunnen verifiëren, heeft Hackread.com een ​​diepgaande analyse van de gelekte gegevens uitgevoerd, en die lijkt betrouwbaar. In alle zes de lekken bevat het dossier persoonlijke gegevens van klanten en bedrijven, waaronder e-mailadressen, volledige namen, adressen, paspoortnummers en telefoonnummers.

De dataset die naar verluidt is gelekt van Qantas Airways Limited is aanzienlijk groot, met een omvang van 153 GB. De bestanden zijn in JSON-formaat en bevatten naar verluidt meer dan 5 miljoen records. De gegevens werden gepubliceerd op 10 oktober 2025 en door de aanvallers als openbaar gemarkeerd.

Deze dataset combineert persoonlijk identificeerbare informatie (PII) met klantloyaliteits- en interne bedrijfsgegevens, wat een ernstig risico vormt als deze authentiek is. Dit is wat de gelekte gegevens bevatten:

1. Geslacht
2. Land
3. Volledige naam
4. Geboortedatum
5. Puntensaldo
6. Gebruikte valuta (AUD)
7. Frequent flyer-nummer
8. Data voor frequent flyer-lidmaatschap en jubileum
9. Titel of aanhef (bijvoorbeeld mevrouw, meneer)
10. Frequent flyer-niveau en statuscredits
11. Telefoonnummers (hoofdnummer, alternatief nummer, thuisnummer, zakelijk nummer, mobiel nummer)
12. E-mailadressen (primair, alternatief, zakelijk, thuis)
13. Tijdstempels voor het aanmaken en wijzigen van accounts
14. Postadresgegevens (plaats, postcode, breedtegraad, lengtegraad, enz.)
15. Account- of klant-ID-nummers (interne Salesforce- en Qantas-ID's)
16. Profielvoorkeuren (bijvoorbeeld maaltijd-, stoel-, marketingvoorkeuren, nieuwsbrieven)
17. Lidmaatschaps- en loyaliteitsgegevens (bronzen niveau, vervaldatum, statuscredits tot het volgende niveau)
18. Interne CRM-velden (OwnerId, RecordTypeId, CreatedBy, enz.)
19. Links naar interne rapporten en sjablonen (bijvoorbeeld “QCC Frequent Flyer Report”, “QCC Lounges Report”)
20. Velden voor klantnotities en opmerkingen
21. Geolocatiegegevens (breedtegraad en lengtegraad van het postadres)
22. Metadata over activiteiten- en contactregistratie (laatst gewijzigd, laatst bekeken, enz.)
23. Interne vlaggen en statusindicatoren (HasOptedOutOfEmail, DoNotCall, Actief, Sensitive_Contact, enz.)

Het is opmerkelijk dat het bedrijf in juli 2025 een groot datalek bevestigde dat verband hield met een externe leverancier, maar de naam ervan werd toen niet bekendgemaakt.

De dataset van Vietnam Airlines is naar verluidt 63,62 GB groot, eveneens in JSON-formaat, met meer dan 23 miljoen records. Net als de andere datasets werd deze op 10 oktober 2025 openbaar gemaakt. De release, indien authentiek, vertegenwoordigt een van de grotere lekken die aan deze reeks inbreuken worden toegeschreven.

Deze gegevens bevatten zowel persoonlijk identificeerbare informatie (PII) als bedrijfsaccountgegevens, evenals interne CRM-velden van luchtvaartmaatschappijen en identificatiegegevens van loyaliteitsprogramma's, zoals het frequent flyer-nummer. Hieronder vindt u een lijst met de soorten gegevens die in de gegevens van Vietnam Airlines zijn opgenomen:

1. Leeftijd
2. Geslacht
3. Volledige naam
4. Telefoonnummer
5. Gebruikte valuta
6. E-mailadres
7. Frequent flyer-nummer
8. Geboortedatum en geboortejaar
9. Eigenaar- en systeemmetagegevens
10. Interne account- en contact-ID's
11. Bedrijfs- of vrachtgerelateerde vakgebieden
12. Rekeningtype en recordclassificatie
13. Informatie over de bedrijfs- of bedrijfsrol
14. Velden met bedrijfs- en belastinginformatie
15. Bedrijfsgerelateerde e-mail- en telefoonvelden
16. Laatste reis- en reisgerelateerde trackingvelden
17. Velden op het platteland en in de stad (hoewel sommige leeg zijn)
18. Woonadres (straat- en gedeeltelijke locatiegegevens)

Het lek met betrekking tot Albertsons Companies, Inc. is relatief kleiner en beslaat in totaal 2 GB aan JSON-bestanden. Volgens de vermelding bevat het meer dan 672.000 records. De gegevens werden gepubliceerd op 10 oktober 2025 en aangemerkt als openbaar.

De dataset die gekoppeld is aan GAP, INC. is 1 GB groot, geformatteerd in JSON en bevat naar verluidt meer dan 224.000 records. De informatie werd geüpload op 10 oktober 2025 met een openbare statustag, wat suggereert dat deze voor iedereen toegankelijk is via het lekportaal.

Het datalek bij Fujifilm lijkt in vergelijking daarmee kleiner, met een omvang van 155 MB en in CSV-formaat. Ondanks de kleinere omvang zou de dataset nog steeds zo'n 224.000 records bevatten. Ook deze werd openbaar gemaakt op 10 oktober 2025.

De dataset van Engie Resources is 3 GB groot en is geformatteerd als JSON-bestanden. De dataset bevat naar verluidt meer dan 537.000 records en is openbaar gemaakt op 10 oktober 2025.

De volledige lijst met 39 bedrijven die als slachtoffer zijn geïdentificeerd van het vermeende datalek bij Salesforce:

1. KFC – 1,3 GB
2. ASICS – 9GB
3. UPS – 91,34 GB
4. IKEA – 13GB
5. GAP, INC. – 1 GB
6. Petco – 9,9 GB
7. Cisco – 5,6 GB
8. McDonald's – 28GB
9. Cartier – 1,4 GB
10. Adidas – 37GB
11. Fujifilm – 155 MB
12. Instacart – 32GB
13. Marriott – 7GB
14. Walgreens – 11 GB
15. Pandoranet – 8,3 GB
16. Chanel – 2GB
17. CarMax – 1,7 GB
18. Disney/Hulu – 36 GB
19. TransUnion – 22GB
20. Aeroméxico – 172,95 GB
21. Toyota Motor Corporation – 64GB
22. Stellantis – 59GB
23. Republic Services – 42GB
24. TripleA (aaacom) – 23GB
25. Saks Fifth – 1,1 GB
26. Albertsons (Jewel Osco, enz.) – 2GB
27. Engie Resources (Plymouth) – 3GB
28. 1-800Accountant – 18GB
29. HMH (hmhcocom) – 88GB
30. Instructurecom – Canvas – 35GB
31. Google Adsense – 19 GB
32. HBO Max – 3,2 GB
33. FedEx – 1,1 TB
34. Qantas Airways – 153GB
35. Vietnam Airlines – 63,62 GB
36. Air France & KLM – 51 GB
37. Home Depot – 19,43 GB
38. Kering (Gucci, Balenciaga, Brioni, AlexMcQ) – 10 GB

Hoewel aanvankelijk meer gegevens werden verwacht, kondigden de hackers op Telegram aan dat ze geen verdere informatie zouden vrijgeven. Ze verklaarden: "Veel mensen vragen zich af wat er nog meer zal worden gelekt. Er zal niets meer worden gelekt. Alles wat is gelekt, is gelekt, we hebben niets meer te lekken en uiteraard kunnen de gegevens die we hebben om voor de hand liggende redenen niet worden gelekt." Deze verklaring laat de toekomst van de resterende gegevens onzeker.

Wat er al is gelekt, is echter al schadelijk genoeg. Als de gegevens worden geverifieerd, kan de vrijgave van deze databases ernstige gevolgen hebben voor diverse sectoren. Luchtvaartmaatschappijen, retailers en energiebedrijven slaan grote hoeveelheden gevoelige klant- en bedrijfsinformatie op, waaronder persoonlijke gegevens, contactgegevens en interne gegevens.

Het blootleggen van dergelijke gegevens brengt het risico op identiteitsdiefstal en fraude met zich mee, en kan ook potentiële reputatie- en financiële schade voor de betrokken bedrijven veroorzaken. Omdat deze lekken verband houden met eerdere claims over een kwetsbaarheid in Salesforce , roept het incident ook vragen op over de beveiligingspraktijken van externe platforms die dergelijke omvangrijke gegevens beheren en opslaan.