ShinyHunters

🏛️ Contexte Le 20 mars 2026, Graeme Biggar, directeur général de la National Crime Agency (NCA) britannique, a prononcé un discours lors du lancement de l’évaluation stratégique nationale de l’agence. Il y a alerté sur la convergence croissante des formes de criminalité en ligne. 🎯 Points clés du discours Biggar a décrit comment les mêmes espaces en ligne toxiques et algorithmes transforment des adolescents en cybercriminels, délinquants sexuels et terroristes. Il a souligné que la technologie ne se contente plus d’être un outil pour les criminels, mais remodèle la criminalité elle-même en l’accélérant et en la mondialisant. ...

Selon Salesforce, des attaquants ciblent des sites basés sur Experience Cloud mal configurés, exposant des données à des utilisateurs invités au-delà de ce qui était prévu, tandis que le gang d’extorsion ShinyHunters affirme exploiter activement un nouveau bug pour voler des données depuis des instances. ⚠️ Salesforce Experience Cloud : campagne de vol de données liée à des sites mal configurés Résumé Salesforce a publié une alerte sur une campagne visant des sites Experience Cloud exposés publiquement et mal configurés, où le profil guest user donne accès à plus de données que prévu. L’activité vise notamment l’endpoint /s/sfsites/aura et s’appuie sur une version modifiée de l’outil AuraInspector, initialement développé par Mandiant pour auditer les permissions. Salesforce affirme qu’il ne s’agit pas d’une vulnérabilité native de la plateforme, mais d’un problème de configuration client. ...

Selon Have I Been Pwned (HIBP), en février 2026, la place de marché automobile CarGurus a été victime d’une fuite de données attribuée au groupe ShinyHunters. 🕵️ Contexte de l’incident: une tentative d’extorsion a précédé la publication publique des données volées. Les informations ont été diffusées après l’échec de cette tentative. 📊 Impact: plus de 12 millions d’adresses email ont été exposées, réparties dans plusieurs fichiers comprenant notamment: Correspondances d’ID de comptes utilisateurs (user account ID mappings) Données de demandes de pré-qualification financière (finance pre-qualification application data) Informations sur les comptes et abonnements des concessionnaires (dealer account and subscription information) 🔐 Données personnelles compromises: noms, numéros de téléphone, adresses postales, adresses IP, ainsi que les résultats des demandes de financement automobile. ...

Selon The Register, le gang ShinyHunters a publié sur son site de fuite une revendication de brèche chez CarGurus, annonçant le vol de 1,7 million d’enregistrements « corporate » et posant un ultimatum au 20 février 2026, avec menace de divulgation et d’autres « problèmes numériques ». Le collectif affirme que l’intrusion s’est produite le 13 février et s’inscrit dans une série de vols de code où des attaques de voice phishing (vishing) ont servi à obtenir des codes de Single Sign-On (SSO) auprès d’utilisateurs des services Okta, Microsoft et Google. Les données compromises incluraient, selon les cybercriminels, des informations personnellement identifiables (PII) et d’autres données internes. CarGurus n’a pas répondu aux sollicitations de The Register au moment de la publication. ...

Selon BleepingComputer, le groupe d’extorsion de données ShinyHunters revendique le vol de plus de 600 000 enregistrements clients de Canada Goose, incluant des données personnelles et des informations liées au paiement. Canada Goose a déclaré à BleepingComputer que l’ensemble de données semble correspondre à des transactions clients passées et qu’elle n’a trouvé aucune preuve de brèche dans ses propres systèmes. Le groupe d’extorsion ShinyHunters affirme avoir dérobé plus de 600 000 enregistrements clients liés à Canada Goose et publié un jeu de données d’environ 1,67 Go au format JSON. Canada Goose indique que le dataset semble correspondre à d’anciennes transactions et ne constate pas de compromission de ses propres systèmes, suggérant une possible exposition via un tiers. Les données contiennent des informations personnelles et des éléments liés au paiement (partiels), exploitables pour du phishing ciblé, de l’ingénierie sociale et de la fraude. ...

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées. Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université. UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering. Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni. Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics). Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste. ...

Selon BleepingComputer (Lawrence Abrams, 15 janvier 2026), Grubhub a confirmé qu’« des individus non autorisés ont récemment téléchargé des données de certains systèmes », tout en affirmant que les informations sensibles telles que les données financières ou l’historique de commandes n’ont pas été affectées. L’entreprise dit avoir stoppé l’activité, renforcé sa posture de sécurité, engagé un prestataire cybersécurité tiers et notifié les forces de l’ordre. Des sources citées par le média indiquent que le groupe cybercriminel ShinyHunters extorque Grubhub 💸. Les acteurs exigeraient un paiement en Bitcoin pour empêcher la divulgation de données Salesforce (février 2025) et de nouvelles données Zendesk dérobées lors de l’intrusion récente. Grubhub exploite Zendesk pour son support en ligne (chat, comptes, facturation). ...

Selon Resecurity (blog, 24 décembre 2025; mise à jour 3 janvier 2026), l’entreprise a mené une opération de cyberdéception 🍯 en instrumentant des comptes « honeytrap » et un environnement applicatif émulé nourri de données synthétiques, afin d’observer un acteur menant du repérage puis des tentatives massives de scraping, avant d’indiquer que le groupe ShinyHunters est tombé à son tour dans ce piège. Resecurity a déployé des comptes leurres (notamment Office 365/VPN) et un environnement isolé (p. ex. Mattermost) peuplé de données synthétiques imitant des enregistrements consommateurs (>28 000) et transactions Stripe (>190 000), générées avec SDV, MOSTLY AI et Faker, en respectant les schémas API officiels. Des données de fuites déjà connues (potentiellement PII) ont été réutilisées pour accroître le réalisme. L’objectif: inciter l’attaquant à interagir dans un cadre contrôlé, sans recourir à des mots de passe ni à des clés API réelles. ...

Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme détenir des données d’analytics historiques liées aux membres Premium, prétendument issues de la brèche de l’analyste tiers Mixpanel. Type d’incident: extorsion adossée à une exfiltration de données chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sélectionnés sont concernés et que mots de passe et données financières n’ont pas été exposés. Pornhub précise n’avoir plus travaillé avec Mixpanel depuis 2021. ...

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$. CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes. ...