april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Dataintrång

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

Blog Reading Time 4 Lästid / april 28, 2026

Hackergruppen ShinyHunters hävdar att de stulit 1,4 miljoner dataposter från lärplattformen Udemy och hotar att offentliggöra materialet tillsammans med uppgifter som påstås komma från Zara och 7-Eleven. Gruppen listade samtliga tre företagen på sin utpressningssajt dark web mellan den 21 och 27 april 2026 och kräver lösensummor för att inte publicera kunddata och intern företagsinformation.

Enligt Cybernews publicerade gruppen sitt dataset från Udemy den 27 april, efter att företaget inte ska ha mött den uppsatta tidsfristen för betalning. De läckta uppgifterna uppges innehålla personligt identifierbar information samt intern data, även om Udemy inte offentligt har bekräftat något intrång. Vid tidpunkten för publicering hade inget av de tre företagen bekräftat attackerna.

Koppling till Salesforce

ShinyHunters påstår att intrånget hor 7-Eleven skedde via butikskedjans Salesforce-miljö, vilket ligger i linje med gruppens senaste attacker. Enligt uppgifterna ska de ha kommit över mer än 600 000 poster med kundinformation och intern affärsdata. Detta överensstämmer med Google Threat Intelligence Groups bedömning att ShinyHunters systematiskt riktar in sig på organisationers CRM-plattformar genom så kallad röstfiske (vishing).

Intrånget hos Zara verkar istället kopplat till den så kallade Anodot-Snowflake-incidentkedjan som drabbat flera organisationer i år. TechRadar rapporter att gruppen fick tillgång via en tredjepartsintegration snarare än genom ett direkt intrång i den spanska detaljhandelskedjans egna system. Zaras moderbolag Inditex, har tidigare bekräftat att obehörig åtkomst till interna databaser har upptäckts, utan att specificera angreppsmetod.

Fortsatt aktivitet trots gripande

Den senaste vågen av attacker tyder på att ShinyHunters fortfarande är aktiv, trots omfattande polisinsatser. Franska myndigheter grep den 23 juni 2025 fyra misstänkta med koppling till gruppen i en samordnad insats i flera regioner. De gripna ska ha använt aliasen ShinyHunters, Hollow, Noct och Depressed, enligt Infosecurity Magazine och The Record.

De nya uppgifterna om intrång hos Udemy, Zara och 7-Eleven väcker frågor om gripandena verkligen slog ut gruppens kärnverksamhet, eller om andra aktörer har tagit över namnet. Gripandena i Frankrike föregicks av flera internationella insatser, bland annat arresteringen i februari 2025 av den brittiske medborgaren Kai West, som kopplats till identiteten IntelBroker och forumet BreachForums.

Tillvägagångssättet följer ett tydligt mönster: angrip tredjepartstjänster som hanterar data åt flera organisationer och utpressa därefter varje drabbat företag separat. Strategin användes framgångsrikt i gruppens Salesforce-kampanjer under 2025 och tycks nu tillämpas även om molnbaserade analysplattformar och dataintegrationstjänster.

Fokus på molntjänster

ShinyHunters verkar i allt högre grad rikta in sig på molntjänster med stora datamängder från många källor. Uppgifterna om Udemy, Zara och 7-Eleven passar in i detta mönster: tre olika typer av plattformar- e-lärande, detaljhandel och tredjepartsintegrationer- som alla fungerar som ingångar till omfattande kunddatabaser.

Cybernews noterar också att gruppen har övergett traditionell ransomware som bygger på kryptering, och istället fokuserar helt på att stjäla och hota att publicera data. Denna modell kräver mindre teknisk infrastruktur, man kan ändå ge liknande ekonomisk utdelning. I april 2026 uppges gruppen ha listat över 40 organisationer på sin läckagesajt och hävdar att den har tillgång till tiotals miljoner dataposter.

För företag som använder plattformar som Salesforce eller Snowflake innebär detta en växande leverantörsrisk. När en central tjänst komprometteras kan alla anslutna organisationer snabbt bli potentiella mål.

Referenser

  1. ShinyHunters Leaks Data of Udemy, Zara, 7-Eleven in Salesforce Linked Breach
  2. Udemy targeted by ShinyHunters: hackers claim 1.4 million records data theft
  3. ShinyHunters exposes data on Mytheresa, Zara, Carnival, 7-Eleven
  4. French Authorities Arrest Four Hackers Tied to Notorious BreachForums
  5. French police reportedly arrest suspected BreachForums administrators
  6. ShinyHunters Lists New Victims Including Zara, 7-Eleven, and Pitney Bowes in Alleged Data Release

This post is also available in: English

Related News

French Identity Document Agency Hit by Cyberattack, 19 Million Records at Risk

Fransk myndighet hackad – upp till 19 miljoner uppgifter kan vara exponerade

Cyber News Calendar icon april 21, 2026

Booking.com-intrång exponerar miljoner när WhatsApp-bedragare slår till

Booking.com bekräftade på måndagen att hackare fick tillgång till kunders bokningsdata i ett intrång som verkar ha pågått oupptäckt sedan början av april. Reseplattformen meddelade…

Cyber News Calendar icon april 16, 2026

Eurail-intrång exponerar 308 777 passnummer efter julattack

Eurail B.V. bekräftade att angripare bröt sig in i företagets nätverk den 26 december 2025 och stjäl passnummer och personuppgifter från 308 777 resenärer. Det…

Cyber News Calendar icon april 10, 2026

Fransk myndighetsregister hackat – 1,2 miljoner bankkonton exponerade

En hackare bröt sig in i Frankrikes nationella bankkontoregister i januari och fick tillgång till persondata från 1,2 miljoner konton genom stulna myndighetsuppgifter. Franska myndigheter…

Cyber News Calendar icon februari 27, 2026
Adidas Hit by Second Partner Breach in Eight Months as Lapsus$ Claims 815,000 Records

Adidas drabbas av ytterligare ett partnerdataintrång på nio månader när Lapsus$ påstår sig ha 815 000 poster

Cyber News Calendar icon februari 19, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss