De dataset koppelt privécontactgegevens aan werkgeversinformatie, waardoor het lek verder gaat dan een losse lijst e-mailadressen.
Ameriprise werd op 26 mei 2026 toegevoegd aan Have I Been Pwned met 500.000 e-mailadressen, namen, telefoonnummers, fysieke adressen en werkgeversgegevens. De gegevens kwamen uit een afpersingscampagne van ShinyHunters in maart, waarbij 65 procent van de e-mailadressen al eerder in de dienst voorkwam.
New breach: Ameriprise was the victim of a ShinyHunters extortion campaign in March. The published data contained 500k email addresses along with names, phone numbers, physical addresses and employer info. 65% were already in @haveibeenpwned. Read more: https://t.co/6eN7fQtZUs
— Have I Been Pwned (@haveibeenpwned) May 26, 2026
Dit lek valt vooral op door de koppeling tussen thuisgegevens en werkcontext. Een naam met adres en telefoonnummer is al gevoelig, maar werkgeversinformatie geeft er een extra laag aan. Daardoor kan iemand niet alleen als particulier worden benaderd, maar ook via de plek waar hij of zij werkt.
Werkinformatie maakt personen vindbaar
De gepubliceerde dataset bevat geen wachtwoorden in de melding, maar wel gegevens die mensen herkenbaar maken. Fysieke adressen en telefoonnummers zijn lastig te vervangen. In combinatie met een werkgever ontstaat een profiel dat dicht bij iemands dagelijks leven komt.
Voor getroffen personen zit het risico daarom niet alleen in digitale fraude. Een adres kan worden gebruikt om iemand buiten het scherm te vinden. Werkgeversinformatie kan bovendien helpen om berichten geloofwaardig te maken, bijvoorbeeld door te verwijzen naar een functie, afdeling of zakelijk contact dat echt lijkt.
Afpersing eindigde in publicatie
De melding noemt maart als moment van de afpersingscampagne door ShinyHunters. Dat is een belangrijk detail, omdat de data daarna niet alleen werd gestolen, maar ook werd gepubliceerd. Bij afpersing proberen aanvallers vaak druk te zetten door te dreigen met openbaarmaking.
Wat in dit geval onbekend blijft, is hoe ShinyHunters toegang kreeg tot de gegevens. De bron noemt geen misconfiguratie, geen gestolen inloggegevens en geen betrokken leverancier. Daardoor is nog niet duidelijk of het probleem bij Ameriprise zelf lag, bij een externe partij of bij een ander systeem waar deze contactgegevens stonden.
Veel adressen waren niet nieuw
Dat 65 procent van de e-mailadressen al in Have I Been Pwned stond, zegt iets over herhaling in datalekken. Een groot deel van de betrokken adressen was eerder al in andere datasets opgedoken. Dat maakt deze publicatie niet onschuldig, want de extra velden kunnen oude gegevens completer maken.
Omgekeerd betekent het percentage dat ongeveer 35 procent van de e-mailadressen nog niet eerder in die database voorkwam. Voor die groep kan dit de eerste publieke koppeling zijn met naam, telefoonnummer, fysiek adres en werkgever. De open vraag is nu vooral of er nog meer context bij de dataset hoort die niet in de melding is genoemd.
