7-Eleven確認(rèn)遭黑客入侵：60萬條記錄泄露，勒索談判破裂

便利店巨頭7-Eleven近日證實(shí)，其系統(tǒng)在上個月遭到網(wǎng)絡(luò)攻擊，勒索團(tuán)伙ShinyHunters宣稱對此次入侵負(fù)責(zé)。這家成立于1927年的零售巨頭，如今在全球運(yùn)營、特許經(jīng)營和授權(quán)超過8.6萬家門店，其中美國和加拿大地區(qū)有1.3萬家。其7Rewards和Speedy Rewards會員計劃擁有超過1億名會員。除7-Eleven門店外，該零售集團(tuán)還運(yùn)營并特許經(jīng)營Speedway、Stripes、Laredo Taco Company以及Raise the Roost Chicken and Biscuits等品牌門店。

根據(jù)5月1日發(fā)送給受影響個人的數(shù)據(jù)泄露通知以及周五在美國多個州提交的文件，該公司在4月初發(fā)現(xiàn)攻擊者入侵了部分7-Eleven系統(tǒng)，并獲取了數(shù)量未公開的個人數(shù)據(jù)。7-Eleven在聲明中表示："我們最近發(fā)現(xiàn)，2026年4月8日，未經(jīng)授權(quán)的第三方獲取了用于存儲特許經(jīng)營文件的某些7-Eleven系統(tǒng)的訪問權(quán)限。我們非常重視您個人信息的安全，并立即展開調(diào)查，以評估受影響的文件并將此情況告知您。我們也想為可能給您帶來的任何不便道歉。"

然而，盡管7-Eleven未進(jìn)一步披露事件詳情或受影響人數(shù)，ShinyHunters網(wǎng)絡(luò)犯罪團(tuán)伙已于4月17日宣稱對此次攻擊負(fù)責(zé)。該勒索團(tuán)伙聲稱，在入侵該公司的Salesforce環(huán)境后，竊取了超過60萬條包含企業(yè)數(shù)據(jù)和個人身份信息的記錄。在宣稱入侵后不到一周，由于該公司拒絕支付贖金以換回并銷毀被盜數(shù)據(jù)，ShinyHunters在其暗網(wǎng)泄露網(wǎng)站上公布了一個9.4GB的文檔存檔。網(wǎng)絡(luò)犯罪分子表示："盡管我們展現(xiàn)了極大的耐心，提供了所有機(jī)會和提議，但該公司未能與我們達(dá)成協(xié)議。"

當(dāng)BleepingComputer聯(lián)系7-Eleven發(fā)言人核實(shí)ShinyHunters的說法并獲取有關(guān)泄露的更多細(xì)節(jié)時，包括哪些類別的數(shù)據(jù)被曝光以及受影響人數(shù)，對方未能立即回應(yīng)。這并非7-Eleven首次遭遇網(wǎng)絡(luò)安全事件。2022年8月，7-Eleven丹麥分公司也曾確認(rèn)成為勒索軟件攻擊的受害者，部分系統(tǒng)被加密，被迫關(guān)閉175家門店。

ShinyHunters過去一年持續(xù)將Salesforce客戶作為攻擊目標(biāo)，已入侵?jǐn)?shù)百家公司，并聲稱在Salesloft Drift活動和更近的Salesforce Aura數(shù)據(jù)竊取攻擊中竊取了數(shù)十億條記錄。上周，教育科技巨頭Instructure宣布與該勒索團(tuán)伙達(dá)成"協(xié)議"，以確保近期泄露中被盜數(shù)據(jù)不會在網(wǎng)上公開。ShinyHunters近期宣稱的其他入侵對象還包括歐盟委員會、視頻服務(wù)Vimeo以及教育科技公司。

從攻擊手法來看，ShinyHunters選擇Salesforce作為突破口并非偶然。作為全球最大的客戶關(guān)系管理平臺，Salesforce存儲著海量企業(yè)核心數(shù)據(jù)，一旦失守，往往意味著客戶信息、交易記錄、內(nèi)部文檔等敏感資料一鍋端。7-Eleven此次暴露的特許經(jīng)營文件系統(tǒng)，正是許多零售連鎖企業(yè)的標(biāo)準(zhǔn)配置——用于管理加盟商資質(zhì)、合同、運(yùn)營數(shù)據(jù)等關(guān)鍵業(yè)務(wù)資產(chǎn)。

值得注意的是勒索談判的破裂過程。ShinyHunters特意強(qiáng)調(diào)"極大的耐心"和"所有機(jī)會"，暗示雙方曾有多輪接觸。這種話術(shù)常見于勒索團(tuán)伙的公開聲明，既為后續(xù)泄露數(shù)據(jù)尋找道德借口，也對其他潛在受害者形成心理威懾。9.4GB的數(shù)據(jù)量對于單條記錄而言并不算大，說明泄露內(nèi)容可能以文檔、表格為主，而非結(jié)構(gòu)化的數(shù)據(jù)庫導(dǎo)出文件。

7-Eleven的應(yīng)對策略也值得關(guān)注。從時間線看，4月8日入侵，4月初發(fā)現(xiàn)，5月1日發(fā)出通知，符合美國多數(shù)州的數(shù)據(jù)泄露通知法規(guī)要求——通常在發(fā)現(xiàn)后45至60天內(nèi)告知受影響個人。但"數(shù)量未公開"的表述留下巨大懸念，考慮到其會員計劃超過1億的規(guī)模，實(shí)際影響范圍可能遠(yuǎn)超60萬條記錄的數(shù)字。

對比2022年丹麥分公司的勒索軟件事件，此次攻擊呈現(xiàn)出明顯不同的特征：沒有系統(tǒng)加密和門店癱瘓，而是精準(zhǔn)的數(shù)據(jù)竊取和勒索。這種"純勒索"模式近年來愈發(fā)普遍，攻擊者不再依賴加密鎖死業(yè)務(wù)系統(tǒng)來施壓，而是直接以數(shù)據(jù)公開為籌碼，迫使企業(yè)就范。對于擁有龐大加盟商網(wǎng)絡(luò)的零售巨頭而言，特許經(jīng)營文件的泄露可能引發(fā)連鎖反應(yīng)——加盟商信任危機(jī)、合同條款爭議、甚至競爭對手挖角。

ShinyHunters的"戰(zhàn)績"清單正在快速拉長。從Salesloft Drift到Salesforce Aura，該團(tuán)伙已形成針對特定云平臺的攻擊套路。Instructure的"協(xié)議"達(dá)成與7-Eleven的談判破裂形成鮮明對比，反映出企業(yè)在面對勒索時的兩難困境：支付贖金可能助長犯罪，拒絕則面臨數(shù)據(jù)公開的風(fēng)險。目前尚無證據(jù)表明7-Eleven會效仿Instructure重新開啟談判，9.4GB數(shù)據(jù)已流入暗網(wǎng)，后續(xù)影響將持續(xù)發(fā)酵。