ShinyHunters påstår sig ha stulit 350 GB från EU-kommissionens AWS-konto

4 Lästid / mars 30, 2026

EU-kommissionen har bekräftat ett cyberangrepp som påverkat molninfrastruktur kopplad till Europa.eu-plattformen, efter att en hotaktör som uppger sig vara ShinyHunters hävdat att den stulit mer än 350 GB data. Intrånget upptäcktes den 24 mars 2026 och berörde molntjänster som driver EU:s webbplattform.

Enligt EU-kommissionens talesperson Thomas Regnier påverkade angreppet “en del av vår molninfrastruktur”, medan interna system förblev opåverkade. Det rör sig om molntjänster kopplade till Europa.eu, där rapporter pekar på att minst ett AWS-konto kan ha utnyttjats. Samtidigt tyder tidiga analyser på att data kan ha exponerats, men omfattningen är fortfarande oklar.

ShinyHunters gick ut med sitt påstående den 28 mars och beskrev datan som “utdrag från e-postservrar, databaser, konfidentiella dokument, kontrakt och annat känsligt material”. Samtidigt har varken äktheten eller den fulla omfattningen av den påstådda dataläckan kunnat verifieras oberoende i den tillgängliga rapporteringen.

Samma grupp bakom AT&T- och Ticketmaster-intrången

ShinyHunters har kopplats till flera uppmärksammade dataintrång under senare år. I april 2024 uppges gruppen ha stulit data från över 110 miljoner AT&T-kunder, vilket ledde till att bolaget betalade en lösensumma på 370 000 dollar. Gruppen har även kopplats till intrånget mot Ticketmaster via en Snowflake-relaterad kampanj samt attacker mot organisationer som Santander, PowerSchool och Crunchbase.

Enligt aktuell rapportering förlitar sig gruppen i stor utsträckning på social engineering, särskilt röstfiske (vishing), för att stjäla inloggningsuppgifter och få tillgång till SaaS-miljöer. Googles Threat Intelligence Group har följt deras expansion över flera molnplattformar och noterat deras fokus på SaaS-tjänster som Salesforce, Okta och Microsoft 365.

Brottsbekämpande myndigheter har gjort vissa framsteg i arbetet mot gruppen. Franska myndigheter grep fyra misstänkta i juni 2025, och amerikanska åklagare väckte åtal mot studenten Matthew Lane från Massachusetts för intrånget mot PowerSchool. Trots dessa åtgärder har aktivitet kopplad till ShinyHunters fortsatt under 2025. I det här fallet är det dock fortfarande oklart hur attacken genomfördes enligt tillgänglig rapportering.

AWS förnekar säkerhetsincident

Amazon Web Services har förnekat någon säkerhetsincident inom sin molnmiljö, vilket tyder på att angriparna fick åtkomst genom komprometterade kommissionsinloggningsuppgifter snarare än att exploatera AWS-infrastruktur. Detta matchar ShinyHunters etablerade mönster att rikta sig mot kundkonton snarare än molnplattformssårbarheter.

Kommissionens snabba åtgärder förhindrade serviceavbrott för Europa.eu-webbplatser, och separationen mellan offentlig molninfrastruktur och interna nätverk begränsade intrångets omfattning. Men incidenten väcker frågor om åtkomstkontroller för högvärdiga molnkonton som är värd för känslig regeringsdata.

Detta är kommissionens andra bekräftade intrång på två månader. Den 30 januari 2026 komprometterade angripare kommissionens system för hantering av mobila enheter, vilket potentiellt gav åtkomst till personalnamn och telefonnummer innan incidenten inneslöts inom nio timmar.

Datan cirkulerar redan

Flera cybersäkerhetsövervakningstjänster har bekräftat att dark web-listningen matchar ShinyHunters kända infrastruktur och publiceringsmönster. Tillhandahållandet av en kryptografisk hash tyder på att angriparna är säkra på sin datas äkthet och är beredda för oberoende verifiering.

Kommissionen meddelar ”unionsenheter” som kan ha påverkats, även om den inte har identifierat vilka specifika organisationer eller dataset som är involverade. Omfattningen av potentiell exponering beror på vilken information som lagrades på den komprometterade Europa.eu-molninfrastrukturen utöver offentligt webbplatsinnehåll.

Incidentens timing är särskilt besvärlig för kommissionen, som lanserade ett nytt cybersäkerhetspaket i januari 2026 för att stärka EU:s försvar mot storskaliga cyberhot. De konsekutiva intrången visar att även organisationer som aktivt främjar cybersäkerhetspolicy kämpar för att säkra sina egna molnmiljöer mot beslutna motståndare.