ShinyHunters beansprucht den Diebstahl von 297 GB beim Europarat, einschließlich der Gehaltsliste von 10.000 Mitarbeitern
Die Gruppe behauptet, seit 2011 Daten von HR, Gehaltsabrechnung und 409.000 Lohnabrechnungen exfiltriert zu haben. Der Europarat hatte bis zum Zeitpunkt der Erstellung dieses Artikels keine öffentliche Stellungnahme abgegeben.
Die Erpressungsgruppe ShinyHunters hat am Sonntag (14.) den Diebstahl von 297 GB Daten des Europarats mit Sitz in Straßburg beansprucht. In einem Beitrag auf ihrer eigenen Leak-Website behauptet die Gruppe, 429.000 Dateien exfiltriert zu haben, die Gehaltsabrechnungen von über 10.000 Mitarbeitern zwischen 2011 und 2026 enthalten, mehr als 409.000 Lohnabrechnungen, 14.000 Lebensläufe und etwa 10,7 Tausend individuelle Personalakten. Das Datum des Angriffs, das die Gruppe selbst angibt, ist der 13. Juni. Der Europarat hatte bis zum Zeitpunkt der Erstellung dieses Artikels keine öffentliche Stellungnahme abgegeben.
ShinyHunters hat eine Frist bis zum 16. Juni gesetzt, um den Europarat zur Kontaktaufnahme zu bewegen, andernfalls drohen sie mit der vollständigen Veröffentlichung des Datensatzes. Die beanspruchten Daten umfassen bank-, steuer- und arbeitsrechtliche Aufzeichnungen, die mit dem Personal der Institution verbunden sind, laut Beschreibung, die von der Gruppe veröffentlicht und von spezialisierten Aggregatoren wie ransomware.live wiederholt wurde. Bis Sonntag hatte keine unabhängige Primärquelle, wie eine europäische Datenschutzbehörde, bestätigt, dass die veröffentlichten Daten authentische Aufzeichnungen des Europarats entsprechen.
Das Ziel (und was es nicht ist)
Der Europarat ist keine Institution der Europäischen Union. Er wurde 1949 gegründet, umfasst 46 Mitgliedstaaten und beherbergt den Europäischen Gerichtshof für Menschenrechte. Die Daten, die ShinyHunters behauptet zu haben, beinhalten Informationen über Richter, Staatsanwälte und technische Mitarbeiter, die in verschiedenen Direktionen tätig sind, mit Bezug auf die Ordner DGI, DGII, DG-HR und DG-HRL in den geteilten Proben. Die Verwirrung zwischen Europarat und Europäischer Kommission oder Rat der EU trat in den ersten Artikeln, die am Sonntag veröffentlicht wurden, häufig auf, insbesondere wegen der zeitlichen Nähe zur Diskussion über Anthropic und europäische Souveränität.
ShinyHunters beanspruchte im März 2026 einen ähnlichen Angriff auf eine AWS-Umgebung, die der Europäischen Kommission zugeordnet wurde. In beiden Fällen dauerte es Wochen, bis eine offizielle Bestätigung des Ziels erfolgte, und diese war in ihrem Umfang anders als der von der Gruppe behauptete. Die aktuelle Sammlung, falls sie authentisch ist, umfasst persönliche Daten von Bürgern aus mindestens 46 Ländern und würde eine obligatorische Benachrichtigung an den Datenschutzkomitee des Europarats sowie an die Aufsicht CETS 108+ auslösen, die ein kontinentales Äquivalent zur DSGVO in Bezug auf Verträge ist.
Das Vorgehen der Gruppe
ShinyHunters operiert seit etwa sechs Jahren als Datensammler in Underground-Foren. Die Gruppe hat bereits Angriffe auf Madison Square Garden Sports, Ralph Lauren, JCPenney, American Tower und mehrere Tochtergesellschaften von Catalyst Brands und Authentic Brands Group beansprucht. Das Muster ist dasselbe: Erpressung durch Enthüllung statt klassischer Verschlüsselung, mit kurzen Fristen, Datei-Proben als Beweis und einer Leak-Website, die in einer Tor-Infrastruktur verwaltet wird.
Die Behauptung dieses Wochenendes besagt, dass der Eintrittsvektor ein zentrales Repository für Verwaltungsdateien war. Die Gruppe hat noch keine kryptografischen Beweise für exklusiven Besitz veröffentlicht, wie integrierte Hashes oder Metadaten der Originaldateien, technische Kontrollen, die Bedrohungsintelligenzforschern häufig verlangt werden, bevor eine Behauptung als bestätigt betrachtet wird.
Die Sichtweise für CISOs
Die Behauptung öffnet ein unternehmerisches Problem, das die Anwendungssicherheit nicht abdeckt: die Exposition von Personal- und Gehaltsdaten in veralteten Verwaltungssystemen. Die von der Gruppe beschriebenen Ordnersammlungen deuten auf eine Speicherung auf einem freigegebenen Dateiserver hin, ein Modell, das in internationalen Organisationen und Ministerien nach wie vor verbreitet ist. CISOs in europäischen multinationalen Unternehmen und in Organisationen mit Präsenz in Genf, Brüssel und Straßburg replizieren eine ähnliche Struktur: zentraler NetApp- oder Windows-Dateiserver mit Berechtigungen nach Direktion, häufig außerhalb des neueren EDR-Rands des Unternehmensnetzwerks.
Im Finanzsektor spiegelt sich das Problem im Repository für Gehaltsabrechnungen wider. Itaú, Bradesco und BTG Pactual in Brasilien, BBVA in Spanien und DBS in Singapur führen Dateien mit mehr als einem Jahrzehnt digitalisierter Lohnabrechnungen in Systemen, die neben dem Bankenkernbetrieb stehen. Ein Angriff, der dem gegen den Europarat behaupteten ähnelt, würde in Jurisdiktionen mit GDPR-ähnlichen Regeln leicht Sanktionen von über achtstelligen Eurobeträgen pro betroffenem Mitgliedstaat nach sich ziehen.
Was noch beantwortet werden muss
Ohne Bestätigung des Europarats bleiben drei Fragen offen. Erstens, ob es tatsächlich zu einer Exfiltration in dem behaupteten Umfang gekommen ist oder ob die Gruppe nur alte Proben aus anderen Verletzungen gesammelt hat. Zweitens, ob ein bekannter Exploitsvektor (aktueller CVE, gekaufte Credential oder gezieltes Phishing) oder ob der Zugang durch einen Insider erfolgte. Drittens, ob andere europäische diplomatische Vertretungen in Straßburg, einschließlich des Europäischen Parlaments in Plenarsitzungen, die jetzt verdächtige Infrastruktur geteilt haben.
Die erwartete Antwort für diesen Montag ist eine offizielle Stellungnahme des Kommunikationsdirektorats des Europarats und die Bewegung der Missionsleitungen der 46 Mitgliedstaaten. Bis dahin bleibt der Beitrag von ShinyHunters eine nicht verifizierte Behauptung und kein bestätigtes Ereignis.