Le groupe d’extorsion ShinyHunters a dérobé les informations personnelles de plus de 183 000 personnes après avoir piraté les systèmes de la grande chaîne de supérettes 7-Eleven au mois d’avril. Ce constat provient du service de notification de fuites de données Have I Been Pwned.
Fondée en 1927, 7-Eleven gère, franchise ou concède sous licence plus de 86 000 magasins dans le monde, dont 13 000 aux États-Unis et au Canada. L’entreprise opère aussi les enseignes Speedway, Stripes, Laredo Taco Company et Raise the Roost Chicken and Biscuits. Ses programmes de fidélité, 7Rewards et Speedy Rewards, comptent plus de 100 millions de membres.
Dans des lettres de notification envoyées aux clients concernés le 1er mai, la firme a indiqué que des attaquants avaient volé les données d’un nombre non précisé de personnes. Ils ont obtenu l’accès à certains systèmes de 7-Eleven au début du mois d’avril.
« Nous avons découvert récemment que le 8 avril 2026, un tiers non autorisé a accédé à certains systèmes 7-Eleven qui servent à stocker les documents des franchisés », a déclaré 7-Eleven.
Bien que l’entreprise n’ait pas attribué l’attaque à un groupe de piratage spécifique et n’ait pas fourni de détails supplémentaires, le gang d’extorsion ShinyHunters a revendiqué cette opération le 17 avril.
Les cybercriminels affirment avoir volé plus de 600 000 dossiers qui contenaient des données d’entreprise et des informations personnelles identifiables. Ils ont réussi à pénétrer l’environnement Salesforce de 7-Eleven. Ils ont ensuite publié une archive de 9,4 Go de documents sur leur site de fuite du dark web, car la société a refusé de payer une rançon pour récupérer et détruire les données volées.
Un porte-parole de 7-Eleven n’a pas répondu aux sollicitations de BleepingComputer pour confirmer les affirmations de ShinyHunters et révéler le nombre de personnes affectées. Toutefois, Have I Been Pwned a analysé les données divulguées par le groupe cybercriminel. Le service estime que la fuite a exposé les données de 185 300 personnes, y compris leurs noms, dates de naissance, adresses électroniques uniques, numéros de téléphone et adresses physiques.
« L’incident a exposé 185 000 adresses électroniques uniques, avec des noms, des adresses physiques, des dates de naissance et des numéros de téléphone. Un petit nombre de dossiers contenait aussi des champs de données supplémentaires », a-t-il déclaré. « L’entreprise a indiqué par la suite que la fuite se limitait à certains systèmes 7-Eleven qui servent à stocker les documents des franchisés, une déclaration qui correspond aux données exposées. »
7-Eleven Danemark avait déjà confirmé être victime d’une attaque par rançongiciel en août 2022. Les attaquants avaient alors chiffré certains de ses systèmes, ce qui avait forcé la chaîne à fermer 175 magasins.
Depuis un an, ShinyHunters cible les clients de Salesforce. Le groupe a pénétré des centaines d’entreprises et affirme avoir volé des milliards d’enregistrements lors des attaques de vol de données Salesforce Aura et de la campagne Salesloft Drift.
Parmi les autres fuites que ShinyHunters a revendiquées récemment, on trouve la Commission européenne, le service vidéo Vimeo, les détaillants de mode rapide espagnols Zara et MANGO, le géant de l’edtech McGraw-Hill, le spécialiste de la sécurité domestique ADT, le fabricant de dispositifs médicaux Medtronic, PornHub, Rockstar Games, le géant des rencontres en ligne Match Group, ainsi que les géants technologiques Cisco et Google.
Il y a deux semaines, le FBI a conseillé aux victimes de ShinyHunters de ne pas céder aux exigences des agents de menace. L’agence avait déjà averti que le paiement d’une rançon ne garantit pas que les attaquants ne tenteront pas de vendre les données volées à d’autres cybercriminels ou d’extorquer à nouveau les victimes.