Várias marcas de consumo dos EUA confirmaram incidentes após uma campanha de engenharia social atribuída ao ator ShinyHunters comprometer credenciais de contratados e de single‑sign‑on. As empresas disseram que não acreditam que credenciais de contas de usuário e dados financeiros tenham sido acessados, embora investigadores alertem para golpes subsequentes e riscos de extorsão.

Empresas de segurança e companhias afetadas relataram uma campanha coordenada de engenharia social, amplamente atribuída ao ator ShinyHunters, que usou técnicas de phishing e vishing para comprometer credenciais de contratados e SSO e expor dados internos limitados em várias marcas de consumo dos EUA. Vítimas confirmadas incluíram empresas de plataformas de encontros sob Match Group e Bumble, a rede de restaurantes Panera Bread e a plataforma de dados CrunchBase. Declarações das empresas enfatizaram que não havia indicação de que senhas de clientes ou dados de cartões de pagamento foram acessados, e que medidas imediatas de contenção e remediação foram tomadas, incluindo redefinição de credenciais, contratação de investigadores forenses e notificação de parceiros potencialmente impactados. Analistas do setor alertaram que o acesso exposto de contratados pode possibilitar golpes subsequentes, tentativas de extorsão e engenharia social direcionada a clientes ou funcionários, e recomendaram maior segurança de fornecedores, autenticação multifator e monitoramento. Reguladores e empresas de cibersegurança que acompanham a atividade ressaltaram o risco persistente de ataques direcionados a humanos e pediram melhores práticas de segurança de fornecedores e resposta rápida a incidentes para limitar prejuízos subsequentes a usuários e operações empresariais.