Tydzień ShinyHunters - Zara, Rituals, Carnival, Amtrak. 38 mln rekordów wyciekło
Tydzień ShinyHunters - Zara, Rituals, Carnival, Amtrak. 38 mln rekordów wyciekło
ShinyHunters - grupa hackerska z darknetu - opublikowała dane około 40 organizacji w jednej fali leakingu. Ponad 38 milionów rekordów. Polski widz - jeśli kupowałaś w Zarze, używałaś Rituals, podróżowałaś Carnival - twoje dane są prawdopodobnie wśród nich.
23-29 kwietnia 2026 (kulminacja). ShinyHunters wypchnęło dane na publicznie dostępną stronę leak “indefinitely” - zostaną tam na zawsze.
Lista ofiar (potwierdzonych)
- Carnival Corporation (cruise) - 8,7 mln rekordów wg ShinyHunters / 7,5 mln unikalnych emaili wg HaveIBeenPwned (Holland America Line subsidiary)
- Inditex/Zara - potwierdzony unauthorized access u “former third-party technology provider” (transaction databases). Claim ShinyHunters: 192GB BigQuery przez Anodot (niepotwierdzone publicznie)
- Rituals (kosmetyki, NL) - baza membership 41 mln (liczba dotkniętych nieujawniona - Rituals nie chce powiedzieć)
- 7-Eleven - claim 600k rekordów via Salesforce (niepotwierdzone publicznie)
- Amtrak - 9,4 mln Salesforce records (Cybernews)
- McGraw-Hill - 40-45 mln Salesforce records (sporne)
- ADT - 5,5-10 mln rekordów (claim ShinyHunters / HaveIBeenPwned)
- Mytheresa, Pitney Bowes, Hallmark - reszta
Co to znaczy “rekordy”
Email. Adres. Numer telefonu. Historia zakupów. Czyli wszystko czego trzeba żeby cię zhackować dalej. Phishing emailem. SMS scam. Spersonalizowane oszustwa.
Polski kontekst
Rituals to znana w Polsce drogeria. Sklepy w Galerii Mokotów, Złotych Tarasach, Manufakturze Łódź - większość większych galerii. Plus duża sprzedaż online.
Baza członkostwa - 41 mln klientów. Rituals nie chce powiedzieć ile zostało wykradzionych. Wygodne, co?
Moja perspektywa
Twoje dane są wśród 38 milionów. Jeśli kupowałaś w Zarze, używałaś Rituals, podróżowałaś Carnival cruise. Jeśli nie - prawdopodobnie po prostu jeszcze nie ujawnili tego sklepu.
To NIE jest atak na korporację. To atak na CIEBIE.
Co możesz zrobić teraz:
- Sprawdź haveibeenpwned.com - wpisz email, zobaczysz w której bazie jesteś
- Włącz 2FA wszędzie - email, banki, social media. Bez 2FA = jesteś podatna
- Hasła unikalne per serwis - manager haseł (1Password, Bitwarden, KeePass)
- Bądź gotowa na phishing emailem - przez następne 6 miesięcy zwiększona ilość prób
Źródła
- Cybernews - “ShinyHunters adds Zara, Carnival, 7-Eleven to growing ransomware leak list” (kwiecień 2026)
- TechRadar - “ShinyHunters exposes data on Mytheresa, Zara, Carnival, 7-Eleven - over 40 organizations” (23.04.2026)
- TechRadar - “‘They don’t care’: ShinyHunters strike again as hackers claim to have pinched 7.5 million Carnival cruise emails” (27.04.2026)
- TechCrunch - “Cosmetics giant Rituals confirms data breach of customer membership records” (22.04.2026)
- CyberInsider - “Inditex confirms third-party breach as hackers threaten Zara data leak” (17.04.2026)
- Tom’s Guide - “5.5 million hit in latest ADT data breach”