Mehrere US‑Verbrauchermarken bestätigten Vorfälle, nachdem eine Social‑Engineering‑Kampagne, die dem Akteur ShinyHunters zugeschrieben wird, Zugangsdaten von Auftragnehmern und für Single‑Sign‑On kompromittiert hatte. Unternehmen gaben an, dass Anmeldeinformationen von Nutzerkonten und Finanzdaten vermutlich nicht eingesehen wurden, warnten Ermittler jedoch vor Folge‑Betrugsmaschen und Erpressungsrisiken.

Sicherheitsfirmen und betroffene Unternehmen berichteten über eine koordinierte Social‑Engineering‑Kampagne, die weitgehend dem Akteur ShinyHunters zugeschrieben wird und Phishing‑ und Vishing‑Techniken einsetzte, um Auftragnehmer‑ und SSO‑Anmeldeinformationen zu kompromittieren und bei mehreren US‑Konsumgütermarken begrenzte interne Daten offenzulegen. Zu den bestätigten Opfern gehörten Dating‑Plattformen unter Match Group und Bumble, die Restaurantkette Panera Bread sowie die Datenplattform CrunchBase. Unternehmens­aussagen betonten, dass es keine Hinweise darauf gebe, dass Kundenpasswörter oder Zahlungskartendaten abgerufen worden seien, und dass sofortige Eindämmungs‑ und Abhilfemaßnahmen ergriffen wurden, einschließlich Zurücksetzung von Anmeldeinformationen, Beauftragung forensischer Ermittler und Benachrichtigung potenziell betroffener Partner. Branchenanalysten warnten, dass offengelegte Auftragnehmerzugänge Folge‑Betrügereien, Erpressungsversuche und gezieltes Social‑Engineering gegen Kunden oder Mitarbeiter ermöglichen können, und forderten stärkere Sicherheit bei Zulieferern, Multi‑Faktor‑Authentifizierung und Monitoring. Regulierungsbehörden und Cybersicherheitsfirmen, die die Aktivitäten verfolgten, hoben das anhaltende Risiko durch menschenbezogene Angriffe hervor und riefen zu verbesserten Sicherheitspraktiken bei Lieferanten und zu schneller Vorfallreaktion auf, um nachgelagerte Schäden für Nutzer und Geschäftsbetrieb zu begrenzen.