ShinyHunters dumpte 8,2 miljoen adressen na mislukte afpersing; dataset bevat ook namen, postadressen, telefoons en functietitels.
Pitney Bowes is geraakt door een datalek waarbij 8,2 miljoen e‑mailadressen, namen, postadressen, telefoonnummers en functietitels zijn gepubliceerd. ShinyHunters claimde het bedrijf vorige week te hebben afgeperst en zette de gegevens daarna online; 53 procent van de adressen stond al in Have I Been Pwned.
New breach: ShinyHunters claimed Pitney Bowes as an extortion victim last week before later dumping 8.2M email addresses publicly. Data also included name, physical address, phone number and employee job title. 53% were already in @haveibeenpwned. More: https://t.co/PrnVvRw9xy
— Have I Been Pwned (@haveibeenpwned) April 27, 2026
Dit lek springt eruit door de aanwezigheid van functietitels naast contactgegevens. Daarmee zie je wie beslissingen neemt, of wie een crediteuren-e-mailadres beheert. In combinatie met fysieke adressen en telefoonnummers verschuift misbruik mogelijk van e‑mail naar telefoon en aan de deur. Opvallend is ook dat bijna de helft van de adressen niet eerder als gelekt voorkwam, wat de lijst extra bruikbaar maakt voor nieuwe benaderingen.
Afdreiging eindigt in publieke dump
De tijdlijn is helder: eerst afpersing, daarna publicatie. Dat duidt op een pay-or-publish-tactiek. Als betaling uitblijft, volgt een dump als drukmiddel en als signaal naar andere doelen. Voor betrokkenen verandert zo alles in één klap. Een gesloten onderhandeling wordt een openbaar bestand dat doorzoekbaar en kopieerbaar is.
Zodra een set eenmaal circuleert, is terughalen vrijwel onmogelijk. Mirrors en torrentkopieën ontstaan vaak binnen uren. Zelfs als er nog verwijderverzoeken komen, blijven afgeleiden bestaan. Dat maakt de eerste dagen na publicatie bepalend voor vervolgschade, zoals misbruik van telefoonnummers of het samenvoegen met andere gelekte profielen.
Functietitels verraden wie je belt
De aanwezigheid van een functietitel verandert hoe je een lijst kunt uitnutten. Met e‑mail, telefoon en rol kun je rechtstreeks de persoon bellen die facturen goedkeurt, toegang verstrekt of leveringen plant. Het scheelt gokwerk. Een aanvaller hoeft niet meer het algemene nummer te proberen en kan zijn verhaal meteen op de juiste afdeling richten.
Fysieke adressen voegen een extra laag toe. Een telefoontje of brief met een verwijzing naar een exact afleveradres klinkt meteen aannemelijk. Dat opent de deur voor scenario’s als neppe bezorgmeldingen, valse incasso’s of het wijzigen van een afhaalpunt. Zulke benaderingen zijn moeilijker te filteren dan e‑mail en vergen alertheid bij receptie en inkoop.
Bijna helft is nieuw gelekt
Dat 53 procent al eerder als gelekt bekendstond, betekent ook dat ongeveer 47 procent voor het eerst op grote schaal opduikt. Voor criminelen zijn dat verse contactpunten: minder bounces, meer bereik. Bovendien kunnen zij overlap met eerdere sets gebruiken om lijsten te schonen en profielen te verrijken met adressen en telefoons die eerder ontbraken.
Belangrijke gaten blijven open. Wachtwoorden worden niet genoemd, en het is onduidelijk of het om klanten, zakenrelaties of medewerkers gaat. Evenmin is helder welk deel zakelijk of privé is. Wie zekerheid wil, kan zijn adres controleren via Have I Been Pwned. Een reactie of toelichting van Pitney Bowes zou die afbakening kunnen geven.
