De hackersgroep ShinyHunters lekte data van 700.000 klanten op het darkweb. De data is afkomstig van het Nederlandse zakenreisbureau BCD Travel. De groep publiceerde een bestand van meer dan 30 gigabyte. ShinyHunters staat bekend om gerichte en grootschalige cyberaanvallen. De groep richt zich op grote bedrijven met waardevolle klantgegevens.
De hackers stalen gegevens uit een Salesforce-klantenbestand van BCD. Salesforce is veelgebruikte klantbeheersoftware bij grote organisaties. Ook bemachtigden ze interne SharePoint-data van medewerkers. ShinyHunters stelde BCD een ultimatum: betaal vóór 1 juni, anders volgt publicatie. BCD betaalde het losgeld niet. Daarna publiceerde de groep de gestolen klantgegevens online. Welke persoonsgegevens de hackers precies hebben buitgemaakt, is nog onduidelijk.
BCD bevestigde verdachte activiteit op een intern account. Het bedrijf schakelde direct externe specialisten in voor onderzoek. Volgens BCD functioneren de dienstverlening en IT-systemen normaal. Over de losgeldeis of de precieze omvang wil het bedrijf niets zeggen. Klanten van BCD Travel lopen risico op identiteitsfraude. Zij doen er goed aan verdachte e-mails en betalingsverzoeken kritisch te bekijken.
ShinyHunters is in Nederland geen onbekende naam. In februari 2026 trof de groep telecombedrijf Odido met een grote aanval. Daarbij kwamen gegevens van meer dan zes miljoen klanten op straat te liggen. Dat was een van de grootste datalekken in de Nederlandse geschiedenis. BCD Travel heeft zijn hoofdkantoor in Utrecht en maakt deel uit van BCD Group. Het concern bedient zakelijke reizigers wereldwijd en boekte vorig jaar een omzet van ruim 24 miljard dollar.
