De Abrigo-zaak draait vooral om zakelijke contactdata uit Salesforce en om een opvallend groot aandeel eerder gelekte adressen.
Abrigo werd op 14 mei 2026 toegevoegd aan Have I Been Pwned met ruim 700.000 unieke e-mailadressen en zakelijke contactgegevens. ShinyHunters zou de data vorige maand uit een Salesforce-omgeving hebben gehaald; 57 procent van de adressen stond al in de database van de dienst.
New breach: Abrigo was targeted by ShinyHunters last month, who subsequently published over 700k unique email addresses allegedly taken from their Salesforce instance. Data also included business contact info. 57% were already in @haveibeenpwned. More: https://t.co/BrSxpolwAb
— Have I Been Pwned (@haveibeenpwned) May 14, 2026
De scherpte zit hier niet alleen in het aantal adressen. De genoemde herkomst, een Salesforce-omgeving, maakt het lek vooral zakelijk relevant. Zulke systemen bevatten vaak contactmomenten en relaties tussen organisaties. Tegelijk laat het HIBP-percentage zien dat dit geen volledig nieuwe lijst is, maar ook geen puur hergebruik van oude lekken.
Salesforce is hier de kern
Als de genoemde herkomst klopt, lag de dataset in Salesforce. Dat is geen losse adressenlijst, maar een systeem waarin bedrijven hun verkoop, klantcontact en relaties beheren. Daardoor kan een lek meer prijsgeven dan alleen wie bereikbaar is op welk e-mailadres.
Onbekend is hoe ShinyHunters toegang kreeg tot de omgeving. De bron noemt geen gestolen wachtwoord, fout ingestelde koppeling of kwetsbaarheid. Juist dat maakt de zaak nog open: zonder oorzaak is niet te zeggen of Abrigo zelf, een account, een integratie of een ander pad de zwakke plek was.
Zakelijke adressen tekenen relaties
Zakelijke contactgegevens zijn minder persoonlijk dan medische gegevens of wachtwoorden, maar ze hebben een eigen risico. Ze laten zien welke personen of teams interessant genoeg waren om in een klantensysteem te staan. In een zakelijke omgeving kan dat helpen om berichten geloofwaardig te maken, bijvoorbeeld met de juiste bedrijfsnaam of rol.
De bron noemt geen wachtwoorden, betaalgegevens of privé-adressen. Dat beperkt een deel van de directe schade. Toch is de combinatie van e-mailadressen en zakelijke context waardevol, omdat aanvallers daarmee niet willekeurig hoeven te zoeken. Zij kunnen zich richten op mensen die al in een commercieel of dienstverlenend proces voorkwamen.
Bijna helft lijkt nieuw zichtbaar
De registratie bij Have I Been Pwned vermeldt dat 57 procent van de adressen al eerder in de dienst stond. Dat betekent ook dat ruim vier op de tien adressen daar nog niet voorkwamen. Voor die groep is dit mogelijk het eerste lek dat aan hun e-mailadres wordt gekoppeld.
Voor betrokkenen is vooral de herkomst van belang. Wie contact had met Abrigo of in een zakelijke Salesforce-lijst kan staan, moet letten op berichten die naar zo’n relatie verwijzen. De grootste open vraag blijft welke overige contactvelden in de gepubliceerde dataset zitten en of Abrigo zelf daar nog meer duidelijkheid over geeft.
