Cushman & Wakefield werd op 12 mei 2026 als nieuw datalek in Have I Been Pwned geregistreerd, nadat het bedrijf vorige week door ShinyHunters als slachtoffer was genoemd. Daarna verschenen vooral zakelijke contactgegevens online, waaronder e-mailadressen, functietitels en bedrijfsadressen; het aantal records is niet bekend.
New breach: Cushman & Wakefield was named as a ShinyHunters victim last week, after which mostly corporate contact records were published. Impacted data included email address, job title and company address. 21% were already in @haveibeenpwned. More: https://t.co/3knBrWjEbg
— Have I Been Pwned (@haveibeenpwned) May 12, 2026
De scherpe kant van dit incident zit in de zakelijke ordening van de gegevens. Het gaat niet alleen om losse e-mailadressen, maar om records die functies en bedrijfsadressen aan elkaar koppelen. Daardoor ontstaat een bruikbare kaart van organisaties: wie werkt waar, in welke rol, en op welk kantoor is die persoon te plaatsen.
Het lek leest als bedrijvenkaart
Zakelijke contactgegevens lijken op het eerste gezicht minder gevoelig dan wachtwoorden of medische dossiers. Toch zijn ze waardevol omdat ze structuur tonen. Een e-mailadres zegt wie bereikbaar is, een functietitel zegt waarom iemand interessant kan zijn, en een bedrijfsadres maakt duidelijk bij welke locatie die persoon hoort.
Juist die combinatie past bij aanvallen die beginnen met herkenning. Een bericht aan een facilitymanager, inkoper of juridisch medewerker hoeft niet breed te worden verstuurd om effect te hebben. Als de afzender de juiste vestiging en rol noemt, lijkt het bericht sneller onderdeel van een normale werkdag.
Functietitels maken routes zichtbaar
Functietitels zijn in dit lek belangrijker dan ze vaak lijken. Ze helpen om binnen een organisatie routes te vinden naar mensen met toegang, invloed of budget. Een lijst met algemene adressen is rommelig; een lijst met rollen maakt selectie mogelijk voordat er contact wordt gelegd.
Voor Cushman & Wakefield blijft onduidelijk uit welk systeem de data kwamen en of het om medewerkers, klanten, zakelijke relaties of een mix daarvan gaat. Dat verschil is belangrijk. Een intern adressenbestand zegt iets anders over beveiliging dan een marketinglijst of een export uit een relatiebeheersysteem.
De overlap is juist laag
In Have I Been Pwned stond 21 procent van de betrokken e-mailadressen al eerder in andere datalekken. Dat betekent dat een groot deel van de adressen daar nog niet bekend was. Voor betrokken personen kan dit dus de eerste keer zijn dat hun zakelijke record in zo’n zoekdienst opduikt.
Die lage overlap maakt het incident minder een verhaal van hergebruikte oude lijsten en meer een vraag over herkomst. ShinyHunters noemde het bedrijf als slachtoffer, maar de weg van de data naar publicatie is nog niet duidelijk. De volgende stap is daarom niet alleen tellen hoeveel records er zijn, maar vaststellen uit welke bedrijfslaag ze komen.
