文章总结： ShinyHunters团伙利用MicrosoftEntraSSO网络钓鱼攻击窃取PaneraBread账户数据，涉及510万条唯一邮箱及个人信息，并在勒索失败后公开泄露。这是针对百家机构的大规模攻击之一，此前Panera已有类似泄露历史。 综合评分： 70 文章分类： 数据泄露,安全大事件

HIBP证实，Panera Bread的数据泄露事件影响了510万个账户

原创

securityaffairs securityaffairs

暗镜

2026年2月4日 08:00 北京

Have I Been Pwned 报道了ShinyHunters犯罪团伙声称窃取了超过 1400 万个 Panera Bread 账户的数据。在 Panera 拒绝赔偿后，该团伙在其数据泄露网站上泄露了一个 760MB 的数据存档。ShinyHunters 表示，他们使用 Microsoft Entra SSO 代码访问了 Panera 的系统，这是针对 100 多家机构的主要身份提供商 SSO 账户发起的更大规模网络钓鱼攻击的一部分。

据HIBP报道，“2026年1月，  Panera Bread遭遇数据泄露，1400万条记录被曝光。在勒索未遂后，攻击者公开了这些数据，其中包括510万个唯一的电子邮件地址以及相关的账户信息，例如姓名、电话号码和实际地址。” “ Panera Bread随后证实，  ‘涉及的数据是联系信息’， 并且已通知有关部门。”

BleepingComputer证实，大约有 512 万个账户受到影响，并补充说，受影响的用户数量可能更少，因为个人可能使用多个账户。

当时，Panera 已向有关部门证实了数据泄露事件，称泄露的数据为联系信息，但尚未发布公开通知。

Panera Bread是一家总部位于美国的烘焙咖啡连锁店，以面包、三明治、汤、沙拉和咖啡而闻名。该公司成立于1987年，拥有数千家分店，专注于提供堂食、外卖和送餐服务的快捷休闲餐饮模式。

2018 年 4 月，著名记者兼网络调查员布莱恩·克雷布斯 (Brian Krebs)披露，Panera Bread 的网站在下线前至少八个月内泄露了数百万条客户记录，包括姓名、电子邮件和实际地址、生日以及客户信用卡号的后四位数字。

Panera Bread 在首次得知数据泄露事件后，至少有八个月的时间仍在公开这些数据。

该公司还泄露了顾客的 Panera 会员卡号，诈骗分子可以利用该卡号消费预付账户或窃取 Panera 顾客会员账户中的金额。

令人不安的是，  安全研究员 Dylan Houlihan 于 2017 年 8 月 2 日首次将这个问题告知了Panera Bread。

专家报告称，IT 人员最初并未承认存在缺陷，但在进一步调查后，信息技术总监 Mike Gustavison告诉专家，该问题已得到解决。

Houlihan 确认该问题尚未解决，并于 2018 年 4 月 2 日向 Brian Krebs 报告了该问题。

Panera 告诉 Fox Business，此次数据泄露仅影响了约 10,000 条记录，但 Hold Security 的专家估计受影响的账户数量约为 3700 万个。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 securityaffairs securityaffairs《HIBP证实，Panera Bread的数据泄露事件影响了510万个账户》