便利店巨頭7-Eleven近日證實(shí)，其系統(tǒng)在上個(gè)月遭到網(wǎng)絡(luò)攻擊，勒索團(tuán)伙ShinyHunters宣稱對(duì)此次入侵負(fù)責(zé)。這家成立于1927年的零售巨頭，如今在全球運(yùn)營(yíng)、特許經(jīng)營(yíng)和授權(quán)超過(guò)8.6萬(wàn)家門(mén)店，其中美國(guó)和加拿大地區(qū)有1.3萬(wàn)家。其7Rewards和Speedy Rewards會(huì)員計(jì)劃擁有超過(guò)1億名會(huì)員。除7-Eleven門(mén)店外，該零售集團(tuán)還運(yùn)營(yíng)并特許經(jīng)營(yíng)Speedway、Stripes、Laredo Taco Company以及Raise the Roost Chicken and Biscuits等品牌門(mén)店。

根據(jù)5月1日發(fā)送給受影響個(gè)人的數(shù)據(jù)泄露通知以及周五在美國(guó)多個(gè)州提交的文件，該公司在4月初發(fā)現(xiàn)攻擊者入侵了部分7-Eleven系統(tǒng)，并獲取了數(shù)量未公開(kāi)的個(gè)人數(shù)據(jù)。7-Eleven在聲明中表示："我們最近發(fā)現(xiàn)，2026年4月8日，未經(jīng)授權(quán)的第三方獲取了用于存儲(chǔ)特許經(jīng)營(yíng)文件的某些7-Eleven系統(tǒng)的訪問(wèn)權(quán)限。我們非常重視您個(gè)人信息的安全，并立即展開(kāi)調(diào)查，以評(píng)估受影響的文件并將此情況告知您。我們也想為可能給您帶來(lái)的任何不便道歉。"

然而，盡管7-Eleven未進(jìn)一步披露事件詳情或受影響人數(shù)，ShinyHunters網(wǎng)絡(luò)犯罪團(tuán)伙已于4月17日宣稱對(duì)此次攻擊負(fù)責(zé)。該勒索團(tuán)伙聲稱，在入侵該公司的Salesforce環(huán)境后，竊取了超過(guò)60萬(wàn)條包含企業(yè)數(shù)據(jù)和個(gè)人身份信息的記錄。在宣稱入侵后不到一周，由于該公司拒絕支付贖金以換回并銷(xiāo)毀被盜數(shù)據(jù)，ShinyHunters在其暗網(wǎng)泄露網(wǎng)站上公布了一個(gè)9.4GB的文檔存檔。網(wǎng)絡(luò)犯罪分子表示："盡管我們展現(xiàn)了極大的耐心，提供了所有機(jī)會(huì)和提議，但該公司未能與我們達(dá)成協(xié)議。"

當(dāng)BleepingComputer聯(lián)系7-Eleven發(fā)言人核實(shí)ShinyHunters的說(shuō)法并獲取有關(guān)泄露的更多細(xì)節(jié)時(shí)，包括哪些類別的數(shù)據(jù)被曝光以及受影響人數(shù)，對(duì)方未能立即回應(yīng)。這并非7-Eleven首次遭遇網(wǎng)絡(luò)安全事件。2022年8月，7-Eleven丹麥分公司也曾確認(rèn)成為勒索軟件攻擊的受害者，部分系統(tǒng)被加密，被迫關(guān)閉175家門(mén)店。

ShinyHunters過(guò)去一年持續(xù)將Salesforce客戶作為攻擊目標(biāo)，已入侵?jǐn)?shù)百家公司，并聲稱在Salesloft Drift活動(dòng)和更近的Salesforce Aura數(shù)據(jù)竊取攻擊中竊取了數(shù)十億條記錄。上周，教育科技巨頭Instructure宣布與該勒索團(tuán)伙達(dá)成"協(xié)議"，以確保近期泄露中被盜數(shù)據(jù)不會(huì)在網(wǎng)上公開(kāi)。ShinyHunters近期宣稱的其他入侵對(duì)象還包括歐盟委員會(huì)、視頻服務(wù)Vimeo以及教育科技公司。

從攻擊手法來(lái)看，ShinyHunters選擇Salesforce作為突破口并非偶然。作為全球最大的客戶關(guān)系管理平臺(tái)，Salesforce存儲(chǔ)著海量企業(yè)核心數(shù)據(jù)，一旦失守，往往意味著客戶信息、交易記錄、內(nèi)部文檔等敏感資料一鍋端。7-Eleven此次暴露的特許經(jīng)營(yíng)文件系統(tǒng)，正是許多零售連鎖企業(yè)的標(biāo)準(zhǔn)配置——用于管理加盟商資質(zhì)、合同、運(yùn)營(yíng)數(shù)據(jù)等關(guān)鍵業(yè)務(wù)資產(chǎn)。

值得注意的是勒索談判的破裂過(guò)程。ShinyHunters特意強(qiáng)調(diào)"極大的耐心"和"所有機(jī)會(huì)"，暗示雙方曾有多輪接觸。這種話術(shù)常見(jiàn)于勒索團(tuán)伙的公開(kāi)聲明，既為后續(xù)泄露數(shù)據(jù)尋找道德借口，也對(duì)其他潛在受害者形成心理威懾。9.4GB的數(shù)據(jù)量對(duì)于單條記錄而言并不算大，說(shuō)明泄露內(nèi)容可能以文檔、表格為主，而非結(jié)構(gòu)化的數(shù)據(jù)庫(kù)導(dǎo)出文件。

7-Eleven的應(yīng)對(duì)策略也值得關(guān)注。從時(shí)間線看，4月8日入侵，4月初發(fā)現(xiàn)，5月1日發(fā)出通知，符合美國(guó)多數(shù)州的數(shù)據(jù)泄露通知法規(guī)要求——通常在發(fā)現(xiàn)后45至60天內(nèi)告知受影響個(gè)人。但"數(shù)量未公開(kāi)"的表述留下巨大懸念，考慮到其會(huì)員計(jì)劃超過(guò)1億的規(guī)模，實(shí)際影響范圍可能遠(yuǎn)超60萬(wàn)條記錄的數(shù)字。

對(duì)比2022年丹麥分公司的勒索軟件事件，此次攻擊呈現(xiàn)出明顯不同的特征：沒(méi)有系統(tǒng)加密和門(mén)店癱瘓，而是精準(zhǔn)的數(shù)據(jù)竊取和勒索。這種"純勒索"模式近年來(lái)愈發(fā)普遍，攻擊者不再依賴加密鎖死業(yè)務(wù)系統(tǒng)來(lái)施壓，而是直接以數(shù)據(jù)公開(kāi)為籌碼，迫使企業(yè)就范。對(duì)于擁有龐大加盟商網(wǎng)絡(luò)的零售巨頭而言，特許經(jīng)營(yíng)文件的泄露可能引發(fā)連鎖反應(yīng)——加盟商信任危機(jī)、合同條款爭(zhēng)議、甚至競(jìng)爭(zhēng)對(duì)手挖角。

ShinyHunters的"戰(zhàn)績(jī)"清單正在快速拉長(zhǎng)。從Salesloft Drift到Salesforce Aura，該團(tuán)伙已形成針對(duì)特定云平臺(tái)的攻擊套路。Instructure的"協(xié)議"達(dá)成與7-Eleven的談判破裂形成鮮明對(duì)比，反映出企業(yè)在面對(duì)勒索時(shí)的兩難困境：支付贖金可能助長(zhǎng)犯罪，拒絕則面臨數(shù)據(jù)公開(kāi)的風(fēng)險(xiǎn)。目前尚無(wú)證據(jù)表明7-Eleven會(huì)效仿Instructure重新開(kāi)啟談判，9.4GB數(shù)據(jù)已流入暗網(wǎng)，后續(xù)影響將持續(xù)發(fā)酵。