7-Eleven確認遭黑客入侵：60萬條記錄泄露，勒索談判破裂

便利店巨頭7-Eleven近日證實，其系統在上個月遭到網絡攻擊，勒索團伙ShinyHunters宣稱對此次入侵負責。這家成立于1927年的零售巨頭，如今在全球運營、特許經營和授權超過8.6萬家門店，其中美國和加拿大地區有1.3萬家。其7Rewards和Speedy Rewards會員計劃擁有超過1億名會員。除7-Eleven門店外，該零售集團還運營并特許經營Speedway、Stripes、Laredo Taco Company以及Raise the Roost Chicken and Biscuits等品牌門店。

根據5月1日發送給受影響個人的數據泄露通知以及周五在美國多個州提交的文件，該公司在4月初發現攻擊者入侵了部分7-Eleven系統，并獲取了數量未公開的個人數據。7-Eleven在聲明中表示："我們最近發現，2026年4月8日，未經授權的第三方獲取了用于存儲特許經營文件的某些7-Eleven系統的訪問權限。我們非常重視您個人信息的安全，并立即展開調查，以評估受影響的文件并將此情況告知您。我們也想為可能給您帶來的任何不便道歉。"

然而，盡管7-Eleven未進一步披露事件詳情或受影響人數，ShinyHunters網絡犯罪團伙已于4月17日宣稱對此次攻擊負責。該勒索團伙聲稱，在入侵該公司的Salesforce環境后，竊取了超過60萬條包含企業數據和個人身份信息的記錄。在宣稱入侵后不到一周，由于該公司拒絕支付贖金以換回并銷毀被盜數據，ShinyHunters在其暗網泄露網站上公布了一個9.4GB的文檔存檔。網絡犯罪分子表示："盡管我們展現了極大的耐心，提供了所有機會和提議，但該公司未能與我們達成協議。"

當BleepingComputer聯系7-Eleven發言人核實ShinyHunters的說法并獲取有關泄露的更多細節時，包括哪些類別的數據被曝光以及受影響人數，對方未能立即回應。這并非7-Eleven首次遭遇網絡安全事件。2022年8月，7-Eleven丹麥分公司也曾確認成為勒索軟件攻擊的受害者，部分系統被加密，被迫關閉175家門店。

ShinyHunters過去一年持續將Salesforce客戶作為攻擊目標，已入侵數百家公司，并聲稱在Salesloft Drift活動和更近的Salesforce Aura數據竊取攻擊中竊取了數十億條記錄。上周，教育科技巨頭Instructure宣布與該勒索團伙達成"協議"，以確保近期泄露中被盜數據不會在網上公開。ShinyHunters近期宣稱的其他入侵對象還包括歐盟委員會、視頻服務Vimeo以及教育科技公司。

從攻擊手法來看，ShinyHunters選擇Salesforce作為突破口并非偶然。作為全球最大的客戶關系管理平臺，Salesforce存儲著海量企業核心數據，一旦失守，往往意味著客戶信息、交易記錄、內部文檔等敏感資料一鍋端。7-Eleven此次暴露的特許經營文件系統，正是許多零售連鎖企業的標準配置——用于管理加盟商資質、合同、運營數據等關鍵業務資產。

值得注意的是勒索談判的破裂過程。ShinyHunters特意強調"極大的耐心"和"所有機會"，暗示雙方曾有多輪接觸。這種話術常見于勒索團伙的公開聲明，既為后續泄露數據尋找道德借口，也對其他潛在受害者形成心理威懾。9.4GB的數據量對于單條記錄而言并不算大，說明泄露內容可能以文檔、表格為主，而非結構化的數據庫導出文件。

7-Eleven的應對策略也值得關注。從時間線看，4月8日入侵，4月初發現，5月1日發出通知，符合美國多數州的數據泄露通知法規要求——通常在發現后45至60天內告知受影響個人。但"數量未公開"的表述留下巨大懸念，考慮到其會員計劃超過1億的規模，實際影響范圍可能遠超60萬條記錄的數字。

對比2022年丹麥分公司的勒索軟件事件，此次攻擊呈現出明顯不同的特征：沒有系統加密和門店癱瘓，而是精準的數據竊取和勒索。這種"純勒索"模式近年來愈發普遍，攻擊者不再依賴加密鎖死業務系統來施壓，而是直接以數據公開為籌碼，迫使企業就范。對于擁有龐大加盟商網絡的零售巨頭而言，特許經營文件的泄露可能引發連鎖反應——加盟商信任危機、合同條款爭議、甚至競爭對手挖角。

ShinyHunters的"戰績"清單正在快速拉長。從Salesloft Drift到Salesforce Aura，該團伙已形成針對特定云平臺的攻擊套路。Instructure的"協議"達成與7-Eleven的談判破裂形成鮮明對比，反映出企業在面對勒索時的兩難困境：支付贖金可能助長犯罪，拒絕則面臨數據公開的風險。目前尚無證據表明7-Eleven會效仿Instructure重新開啟談判，9.4GB數據已流入暗網，后續影響將持續發酵。