Varias marcas de consumo de EE. UU. confirmaron incidentes después de que una campaña de ingeniería social atribuida al actor ShinyHunters comprometiera las credenciales de contratistas y de inicio de sesión único. Las empresas indicaron que no se cree que se hayan accedido a las credenciales de cuentas de usuario ni a datos financieros, aunque los investigadores advirtieron sobre estafas subsecuentes y riesgos de extorsión.

Firmas de seguridad y empresas afectadas informaron sobre una campaña coordinada de ingeniería social, ampliamente atribuida al actor ShinyHunters, que utilizó técnicas de phishing y vishing para comprometer credenciales de contratistas y SSO y exponer datos internos limitados en varias marcas de consumo de EE. UU. Las víctimas confirmadas incluyeron empresas de plataformas de citas bajo Match Group y Bumble, la cadena de restaurantes Panera Bread y la plataforma de datos CrunchBase. Los comunicados de las empresas enfatizaron que no había indicios de que se hubieran accedido contraseñas de clientes ni datos de tarjetas de pago, y que se tomaron medidas inmediatas de contención y remediación, incluyendo el restablecimiento de credenciales, la contratación de investigadores forenses y la notificación a socios potencialmente afectados. Analistas del sector advirtieron que el acceso expuesto de contratistas puede permitir estafas posteriores, intentos de extorsión e ingeniería social dirigida a clientes o empleados, y urgieron a reforzar la seguridad de los proveedores, la autenticación multifactor y la supervisión. Reguladores y firmas de ciberseguridad que siguen la actividad destacaron el riesgo persistente de los ataques dirigidos a humanos y pidieron mejorar las prácticas de seguridad de los proveedores y una respuesta rápida a incidentes para limitar los perjuicios posteriores a los usuarios y a las operaciones comerciales.