En bref

  • ShinyHunters donne jusqu'au 21 avril 2026 à Zara, Carnival et 7-Eleven pour payer
  • Carnival : 8,7 millions d'enregistrements revendiqués, dont PII et données internes
  • Vecteurs : Anodot-Snowflake (Zara), Salesforce (7-Eleven) — extensions de la campagne 2025

Les faits

Le groupe d'extorsion ShinyHunters a ajouté le 18 avril 2026 trois nouvelles victimes à son portail pay-or-leak : Zara (Inditex), Carnival Corporation et 7-Eleven. Le message publié fixe un ultimatum au 21 avril 2026 : « This is a final warning to reach out by 21 Apr 2026 before we leak along with several annoying (digital) problems that'll come your way. » Les volumes annoncés sont importants, notamment 8,7 millions d'enregistrements pour Carnival contenant des données d'identification personnelle ainsi que des documents internes de l'entreprise.

Selon les recoupements effectués par Cyber_OSINT et les équipes de Ransomware.live, Zara serait liée à la vague de compromissions Anodot-Snowflake documentée fin 2025, tandis que 7-Eleven s'inscrirait dans la campagne d'accès Salesforce ayant déjà frappé plusieurs retailers au premier trimestre 2026. Carnival Corporation a confirmé une enquête en cours sur la potentielle fuite, sans valider ni infirmer à ce stade les chiffres avancés par le groupe.

Impact et exposition

Les trois victimes représentent des bases clients colossales : Inditex opère 5 500 magasins Zara dans le monde, Carnival Corporation est le premier croisiériste mondial avec plus de 13 millions de passagers annuels et 7-Eleven exploite environ 78 000 points de vente. Au-delà du risque de publication, les données volées alimenteront les campagnes de phishing ciblé, d'usurpation d'identité et de prise de contrôle de comptes sur les six à douze prochains mois. Les entreprises partenaires des trois victimes (fournisseurs, logistique, paiement) doivent également considérer leur périmètre comme potentiellement exposé par rebond.

Recommandations

  • Auditer immédiatement les accès Snowflake et Salesforce de votre organisation : MFA, SSO, secrets rotatifs, suppression des tokens dormants
  • Surveiller les dark web dumps post-21 avril pour identifier collaborateurs ou clients exposés
  • Renforcer les contrôles anti-phishing 30 jours après toute fuite massive
  • Revoir les contrats d'intégrations tierces (Anodot, Snowflake, Salesforce) et exiger des preuves de segmentation
  • Mettre à jour les playbooks DLP et fraude d'identité auprès du SOC et du support client

Alerte critique

ShinyHunters ne bluffe historiquement pas sur ses deadlines. En cas de non-paiement au 21 avril à minuit, une publication partielle est probable dans les 24 à 72 heures, suivie d'une diffusion complète sur les forums cybercriminels si aucun paiement n'intervient.

Que faire si mon organisation utilise Anodot, Snowflake ou Salesforce ?

Effectuez une revue immédiate des tokens OAuth, des clés API et des comptes de service. Activez la MFA matérielle ou passkey pour les comptes administrateurs, désactivez les authentifications par mot de passe seul et faites tourner l'ensemble des secrets utilisés dans les pipelines d'intégration depuis janvier 2026. Vérifiez également les logs d'accès pour toute connexion depuis des IP ASN atypiques.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit