ShinyHunters eist losgeld na toegang tot 1,8 miljoen e-mails en werkgegevens bij Marcus & Millichap, met veel hergebruikte adressen.
Marcus & Millichap is vorige maand online genoemd in een ‘pay or leak’-campagne van ShinyHunters. Bij het incident zouden 1,8 miljoen unieke e-mailadressen, namen, telefoonnummers en arbeidsgerelateerde gegevens zijn buitgemaakt; 70 procent van de adressen dook al eerder op in bekende datalekcollecties.
New breach: Marcus & Millichap was named in a ShinyHunters “pay or leak” extortion campaign last month. Impacted data included 1.8M unique email addresses, name, phone number and employment-related info. 70% were already in @haveibeenpwned. Read more: https://t.co/TlbuvGRHNS
— Have I Been Pwned (@haveibeenpwned) May 3, 2026
Wat hier opvalt is niet zozeer het aantal adressen, maar de toevoeging van arbeidsinformatie en telefoonnummers. Daarmee verandert een generieke mailinglijst in een actuele kaart van wie ergens werkt en hoe diegene te bereiken is. Voor oplichters verlegt dat de inzet van e-mail naar geloofwaardige telefoongesprekken en HR-achtige verzoeken, met meer kans op snelle actie binnen bedrijven.
Werkgegevens maken adressen bruikbaarder
Arbeidsgerelateerde data klinkt vaag, maar in combinatie met een telefoonnummer geeft het context: met wie men spreekt, en welke relatie die persoon heeft met het bedrijf. Dat maakt koude belletjes warmer. Een nep-HR-medewerker kan bijvoorbeeld op exact de juiste persoon mikken voor een zogenaamd contractupdate, of een ‘IT-helpdesk’ kan gericht om een bevestigingscode vragen. Bij dealgedreven organisaties, waar afspraken vaak telefonisch worden bevestigd, kan zo’n gerichte benadering sneller leiden tot een interne wijziging of gedeelde bestanden.
De gebruikte ‘pay or leak’-tactiek draait om druk: betalen of openbaarmaking volgt. Zelfs wanneer een bedrijf instemt, belandt buitgemaakte data geregeld toch in ruilhandel of privéfora. De meerwaarde zit dan niet in het volume, maar in de ordening. Een lijst die e-mails, telefoons en werkcontext bij elkaar brengt, is direct inzetbaar voor kwaadwillenden die snel resultaat zoeken, bijvoorbeeld het omleiden van communicatie of het krijgen van toegangscodes via een terugbelverzoek.
Oude mails, nieuwe context
Dat 70 procent van de e-mailadressen al in andere lekken stond, klinkt alsof de schade meevalt. Het tegendeel kan kloppen: hergebruikte adressen krijgen hier een actuele laag erbij. Een adres dat al jaren circuleert, wordt met een telefoonnummer en werkcontext ineens veel bruikbaarder. Voor daders is dat dataverrijking: oude grondstoffen met nieuwe metadata, die uitkomstrijker is dan een losse, verouderde dump.
Wie wil nagaan of een adres in bekende lekken voorkomt, kan dit zelf controleren via Have I Been Pwned. Verschijnt uw e-mail daar vaker, dan is dat op zich niet nieuw. Maar let dan extra op onverwachte telefoontjes die uw werkrelatie benoemen. Verbreek het gesprek, zoek zelf een vertrouwd nummer op, en bel terug. Niet omdat dit lek uniek is, maar omdat juist dÃe combinatie van gegevens een gesprek overtuigend kan laten klinken.
Veel open eindes blijven staan
Veel kernvragen zijn onbeantwoord. We weten niet of het vooral personeelsbestanden, externe partners of ook klanten betreft. Of er wachtwoorden, interne documenten of alleen contactvelden zijn meegenomen, blijft onbekend. Ook is niet duidelijk hoe de aanvallers binnenkwamen en of het bedrijf betrokkenen al heeft geïnformeerd. Zonder die details is het lastig in te schatten of dit vooral een targeting-lijst is, of dat er ook directe accounts of systemen in gevaar zijn gebracht.
In de komende weken wordt duidelijk of er een publieke dump volgt of dat de set in besloten kringen circuleert. Bij een brede publicatie stijgt de kans op veel koud bellen en sms’jes; bij beperkte verspreiding ligt gerichte benadering van sleutelpersonen meer voor de hand. Waar het nu op aankomt, is transparantie en verificatie: een technisch rapport of een bevestigde melding kan de omvang afbakenen en organisaties gericht laten voorbereiden op het type misbruik dat hieruit voortvloeit.
