ShinyHunters ujawniają rzekome dane z Qantas, Vietnam Airlines i innych dużych firm

Hakerzy, przedstawiający się jako „ Scattered Lapsus$ Hunters ”, kolektyw łączący w sobie elementy Scattered Spider, Lapsus$ i ShinyHunters, opublikowali już dane rzekomo należące do 6 z 39 zaatakowanych firm.

Oto nazwy firm wymienionych w przecieku:

1. Fujifilm
2. GAP, INC.
3. Wietnamskie linie lotnicze
4. Zasoby Engie
5. Qantas Airways Limited
6. Albertsons Companies, Inc.

Chociaż firmy, których dotyczył wyciek, są jedynymi, które mogą potwierdzić naruszenie, Hackread.com przeprowadził dogłębną analizę wyciekniętych danych i wygląda to na wiarygodne. We wszystkich 6 wyciekach rekord zawierał dane osobowe klientów i firm, w tym adresy e-mail, imiona i nazwiska, adresy, numery paszportów i numery telefonów.

Zestaw danych, który rzekomo wyciekł z Qantas Airways Limited, ma pokaźny rozmiar i waży 153 GB. Pliki są w formacie JSON i podobno zawierają ponad 5 milionów rekordów. Dane zostały opublikowane 10 października 2025 roku i oznaczone jako publiczne przez atakujących.

Ten zbiór danych łączy dane osobowe (PII) z danymi lojalnościowymi klientów i wewnętrznymi danymi biznesowymi, co czyni go poważnym zagrożeniem, jeśli jest autentyczny. Oto, co zawierają wyciekłe dane:

1. Płeć
2. Kraj
3. Pełne imię i nazwisko
4. Data urodzenia
5. Saldo punktów
6. Używana waluta (AUD)
7. Numer dla osób często podróżujących samolotem
8. Daty dołączenia do programu „Często latający pasażerowie” i rocznice
9. Tytuł lub zwrot grzecznościowy (na przykład Pani, Pan)
10. Poziomy i statusy dla często latających pasażerów
11. Numery telefonów (główny, dodatkowy, domowy, służbowy, komórkowy)
12. Adresy e-mail (podstawowy, dodatkowy, służbowy, domowy)
13. Znaczniki czasu utworzenia i modyfikacji konta
14. Dane adresu korespondencyjnego (miasto, kod pocztowy, szerokość i długość geograficzna itp.)
15. Numery identyfikacyjne konta lub klienta (wewnętrzne identyfikatory Salesforce i Qantas)
16. Preferencje profilowe (na przykład posiłki, miejsce, preferencje marketingowe, newslettery)
17. Szczegóły dotyczące członkostwa i lojalności (poziom brązowy, data wygaśnięcia, punkty statusu do następnego poziomu)
18. Wewnętrzne pola CRM (OwnerId, RecordTypeId, CreatedBy itp.)
19. Linki do wewnętrznych raportów i szablonów (na przykład „Raport dla często latających pasażerów QCC”, „Raport z saloników QCC”)
20. Pola notatek i uwag klienta
21. Dane geolokalizacyjne (szerokość i długość geograficzna adresu pocztowego)
22. Metadane dotyczące śledzenia aktywności i kontaktów (ostatnia modyfikacja, ostatnie przeglądanie itp.)
23. Wewnętrzne flagi i wskaźniki statusu (HasOptedOutOfEmail, DoNotCall, Active, Sensitive_Contact itp.)

Warto zauważyć, że w lipcu 2025 r. firma potwierdziła poważne naruszenie bezpieczeństwa danych związane z zewnętrznym dostawcą, ale nie ujawniła wówczas jego nazwy.

Zbiór danych Vietnam Airlines ma rozmiar 63,62 GB, również w formacie JSON, i zawiera ponad 23 miliony rekordów. Podobnie jak pozostałe, został on upubliczniony 10 października 2025 roku. Jeśli ten wyciek danych okaże się autentyczny, stanowi on jeden z większych wycieków przypisywanych tej serii naruszeń.

Rekord ten zawiera zarówno dane osobowe (PII), jak i dane z kont firmowych, a także wewnętrzne pola CRM linii lotniczych oraz identyfikatory programów lojalnościowych, takie jak numer programu lojalnościowego dla osób często podróżujących. Oto lista typów danych zawartych w rekordzie Vietnam Airlines:

1. Wiek
2. Płeć
3. Pełne imię i nazwisko
4. Numer telefonu
5. Używana waluta
6. Adres e-mail
7. Numer dla osób często podróżujących samolotem
8. Data urodzenia i rok urodzenia
9. Właściciel i metadane systemu
10. Wewnętrzne identyfikatory kont i kontaktów
11. Dziedziny związane z biznesem lub ładunkami
12. Rodzaj konta i klasyfikacja rekordów
13. Informacje o roli korporacyjnej lub biznesowej
14. Pola informacji korporacyjnych i podatkowych
15. Pola adresu e-mail i telefonu związane z firmą
16. Ostatnie pola śledzenia podróży i powiązań z podróżami
17. Pola kraju i miasta (choć niektóre są puste)
18. Adres zamieszkania (ulica i częściowe dane lokalizacji)

Wyciek związany z firmą Albertsons Companies, Inc. jest stosunkowo mniejszy i obejmuje 2 GB plików JSON. Według spisu, zawiera on ponad 672 000 rekordów. Dane zostały opublikowane 10 października 2025 roku i oznaczone jako publiczne.

Zbiór danych powiązany z GAP, INC. ma rozmiar 1 GB, jest sformatowany w formacie JSON i podobno zawiera ponad 224 000 rekordów. Informacje zostały przesłane 10 października 2025 roku z publicznym oznaczeniem statusu, co sugeruje, że są dostępne dla każdego za pośrednictwem portalu wycieku.

Wyciek danych z Fujifilm wydaje się mniejszy w porównaniu z tym, że ma rozmiar 155 MB i jest zapisany w formacie CSV. Pomimo mniejszego rozmiaru, zbiór danych nadal obejmuje rzekomo około 224 000 rekordów. Został on również upubliczniony 10 października 2025 roku.

Zbiór danych Engie Resources ma rozmiar 3 GB i jest sformatowany jako pliki JSON. Zawiera podobno ponad 537 000 rekordów, opublikowanych publicznie 10 października 2025 roku.

Pełna lista 39 firm zidentyfikowanych jako ofiary domniemanego naruszenia danych Salesforce:

1. KFC – 1,3 GB
2. ASICS – 9 GB
3. UPS – 91,34 GB
4. IKEA – 13 GB
5. GAP, INC. – 1 GB
6. Petco – 9,9 GB
7. Cisco – 5,6 GB
8. McDonald's – 28 GB
9. Cartier – 1,4 GB
10. Adidas – 37 GB
11. Fujifilm – 155 MB
12. Instacart – 32 GB
13. Marriott – 7 GB
14. Walgreens – 11 GB
15. Pandoranet – 8,3 GB
16. Kanał – 2 GB
17. CarMax – 1,7 GB
18. Disney/Hulu – 36 GB
19. TransUnion – 22 GB
20. Aeroméxico – 172,95 GB
21. Toyota Motor Corporation – 64 GB
22. Stellantis – 59 GB
23. Usługi Republiki – 42 GB
24. TripleA (aaacom) – 23 GB
25. Saks Fifth – 1,1 GB
26. Albertsons (Jewel Osco itp.) – 2 GB
27. Engie Resources (Plymouth) – 3 GB
28. 1-800Księgowy – 18 GB
29. HMH (hmhcocom) – 88 GB
30. Instructurecom – Canvas – 35 GB
31. Google Adsense – 19 GB
32. HBO Max – 3,2 GB
33. FedEx – 1,1 TB
34. Qantas Airways – 153 GB
35. Vietnam Airlines – 63,62 GB
36. Air France i KLM – 51 GB
37. Home Depot – 19,43 GB
38. Kering (Gucci, Balenciaga, Brioni, AlexMcQ) – 10 GB

Choć początkowo spodziewano się więcej danych, hakerzy ogłosili na Telegramie, że nie ujawnią żadnych dodatkowych informacji, stwierdzając: „Wiele osób pyta, co jeszcze wycieknie. Nic więcej nie wycieknie. Wszystko, co wyciekło, wyciekło, nie mamy nic więcej do ujawnienia i oczywiście, to, co mamy, nie może zostać ujawnione z oczywistych powodów”. To oświadczenie pozostawia niepewną przyszłość pozostałych danych.

Jednak to, co już wyciekło, jest wystarczająco szkodliwe. Jeśli zostanie to potwierdzone, ujawnienie tych baz danych może mieć poważne konsekwencje dla wielu branż. Linie lotnicze, sprzedawcy detaliczni i firmy energetyczne przechowują duże ilości poufnych informacji o klientach i firmach, w tym dane osobowe, dane kontaktowe i wewnętrzne rejestry.

Ujawnienie takich danych naraża osoby dotknięte incydentem na ryzyko kradzieży tożsamości i oszustwa, a także stwarza potencjalne szkody wizerunkowe i finansowe dla zaangażowanych firm. Ponieważ wycieki te są powiązane z wcześniejszymi doniesieniami o luce w zabezpieczeniach Salesforce , incydent ten rodzi również pytania o praktyki bezpieczeństwa stosowane przez platformy zewnętrzne, które zarządzają i przechowują tak obszerne dane.