Selon BleepingComputer (Lawrence Abrams, 15 janvier 2026), Grubhub a confirmé qu’« des individus non autorisés ont récemment téléchargé des données de certains systèmes », tout en affirmant que les informations sensibles telles que les données financières ou l’historique de commandes n’ont pas été affectées. L’entreprise dit avoir stoppé l’activité, renforcé sa posture de sécurité, engagé un prestataire cybersécurité tiers et notifié les forces de l’ordre.
Des sources citées par le média indiquent que le groupe cybercriminel ShinyHunters extorque Grubhub 💸. Les acteurs exigeraient un paiement en Bitcoin pour empêcher la divulgation de données Salesforce (février 2025) et de nouvelles données Zendesk dérobées lors de l’intrusion récente. Grubhub exploite Zendesk pour son support en ligne (chat, comptes, facturation).
Contexte d’attaque et chaîne d’intrusion : le récent accès aurait été rendu possible via des secrets/identifiants volés lors des attaques de vol de données liées à Salesloft/Drift. En août 2025, des acteurs ont abusé de jetons OAuth de l’intégration Salesforce de Salesloft pour mener une campagne d’exfiltration (8–18 août 2025). Le rapport de l’équipe Threat Intelligence de Google (Mandiant/GTIG) indique que ces données volées ont ensuite servi à collecter d’autres identifiants et secrets pour des attaques en rebond, avec la cible de clés d’accès AWS (AKIA), mots de passe, et jetons Snowflake. ShinyHunters avait revendiqué à l’époque ce piratage, affirmant le vol d’environ 1,5 milliard d’enregistrements issus des objets Salesforce « Account », « Contact », « Case », « Opportunity » et « User » pour 760 entreprises.
Éléments connexes : le mois précédent, Grubhub avait été lié à une campagne d’e-mails frauduleux expédiés depuis le sous-domaine b.grubhub.com, promouvant une arnaque crypto promettant un rendement x10. Le lien entre cet envoi massif et la violation confirmée n’est pas établi.
IOCs et TTPs observés (selon l’article) :
- TTPs : abus de jetons OAuth (intégration Salesforce), exfiltration de données, réutilisation de secrets pour attaques ultérieures, extorsion en Bitcoin.
- Ciblage d’identifiants : clés AWS (préfixe AKIA), mots de passe, jetons Snowflake.
- Plateformes/technos touchées : Salesforce, Zendesk, Salesloft (intégration), mention de Drift.
- Indicateur de domaine : b.grubhub.com (utilisé pour des e-mails d’arnaque crypto).
- Fenêtres temporelles : février 2025 (données Salesforce), 8–18 août 2025 (campagne via OAuth), incident confirmé en janvier 2026.
Conclusion : article de presse spécialisé visant à informer sur une violation de données confirmée chez Grubhub et à contextualiser l’extorsion revendiquée par des sources, en lien avec une chaîne d’attaques exploitant des accès OAuth/identifiants volés.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/grubhub-confirms-hackers-stole-data-in-recent-security-breach/