Grubhub erpresst: Datenleck nach Kettenangriff

Der Essenslieferdienst Grubhub ist Opfer eines schweren Datenlecks geworden. Die berüchtigte Cybercrime-Gruppe ShinyHunters erpresst das Unternehmen nun mit der Veröffentlichung gestohlener interner Daten. Die Angreifer fordern Lösegeld in Bitcoin. Hinter dem Vorfall steht ein groß angelegter Kettenangriff aus dem Vorjahr, der Hunderte Firmen traf.

Erpressung mit alter und neuer Beute

Die Lage für Grubhub ist besonders brisant, weil die Erpresser mit einem doppelten Datenpaket drohen. Sie kombinierten frisch gestohlene Informationen aus dem Zendesk-Supportsystem des Unternehmens mit älteren Daten aus einem bereits bekannten Salesforce-Leck vom Februar 2025. Diese Taktik soll den Druck maximieren. Die aus dem Zendesk-System entwendeten Daten betreffen Kundenkommunikation zu Bestellungen, Kontoproblemen und Abrechnungen. Grubhub betont, dass sensible Zahlungsinformationen der Kunden nicht kompromittiert wurden.

Die lange Schatten der Salesforce-Attacke

Cybersicherheitsexperten sehen in dem Grubhub-Vorfall keine Einzeltat, sondern eine direkte Spätfolge. Der Zugang gelang den Angreifern höchstwahrscheinlich mit gestohlenen OAuth-Tokens aus der großflächigen „Salesloft Drift“-Attacke vom August 2025. Damals wurden bei Hunderten Organisationen Authentifizierungstoken für Salesforce-Integrationen erbeutet. Diese Tokens wirken wie ein Generalschlüssel: Sie umgehen Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung und gewähren lange nach dem Diebstahl Zugriff. ShinyHunters wird mit dieser Kampagne in Verbindung gebracht, die schätzungsweise 1,5 Milliarden Datensätze bei über 700 Unternehmen erfasste.

Passend zum Thema Cyberangriffe bietet ein kostenloses E‑Book praxisnahe Schutzmaßnahmen gegen genau solche Vorfälle. Der Leitfaden erklärt, wie Sie Integrationstokens, Zugriffskontrollen und Mitarbeiter-Checks absichern, welche einfachen Maßnahmen sofort Wirkung zeigen und wie Sie Ihr Unternehmen gegen Kettenangriffe stärken. Mit Checklisten und Handlungsempfehlungen für IT-Verantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen

Grubhub in der Zwickmühle

Das Unternehmen hat nach eigenen Angaben den Vorfall entdeckt, die unbefugte Aktivität gestoppt und eine Cybersecurity-Firma sowie Strafverfolgungsbehörden eingeschaltet. Die entscheidende Frage lautet nun: Wird Grubhub das Lösegeld zahlen? Behörden raten generell davon ab. Unabhängig von dieser Entscheidung muss der Lieferdienst das Vertrauen von Kunden, Restaurants und Fahrern zurückgewinnen. Bereits im Vormonat gab es einen separaten Sicherheitsvorfall mit betrügerischen E-Mails von einer Grubhub-Subdomain.

Alarmstufe Rot für Token-Sicherheit

Der Fall zeigt ein fundamentales Problem auf: Viele Unternehmen schützen Mitarbeiter-Konten mit moderner Zwei-Faktor-Authentifizierung, haben aber eine Schwachstelle bei den Integrationstokens zwischen Anwendungen. Diese Tokens werden oft nicht ausreichend gesichert oder nach einem Vorfall nicht schnell genug ausgetauscht. Für alle Firmen, die von der Salesloft-Attacke 2025 betroffen waren, ist eine sofortige Überprüfung und Erneuerung aller Zugangstokens dringend notwendig. Die Bedrohung durch solche Kettenangriffe bleibt für Jahre akut.