Клиенты ресторанов, использующих платформу HungerRush, начали получать весьма странные письма с угрозами раскрытия данных. Автор сообщений заявил о взломе компании и попытках добиться ответа от её представителей. Он предупредил о готовности опубликовать информацию о миллионах посетителей в случае игнорирования требований.
Платформа HungerRush наиболее распространена в США и ориентирована на предприятия общественного питания — от региональных сетей до отдельных ресторанов. Компания поставляет системы управления заказами и платежами, инструменты онлайн-заказа и доставки. По данным самой HungerRush, её сервисами пользуются более 16 тысяч заведений, включая Sbarro, Jet’s Pizza, Fajita Pete’s и Hungry Howie’s.
Первые письма начали рассылать утром 4 марта. Сообщения пришли с адреса support@hungerrush[.]com. Автор утверждал, что ранее отправлял компании требования и пригрозил вредоносными действиями в случае дальнейшего игнорирования. Через несколько часов последовало второе письмо — уже с другого адреса, но всё также в домене hungerrush[.]com. В тексте говорилось о доступе к базе данных с миллионами записей. В перечень якобы входили имена, адреса электронной почты, пароли, номера телефонов, даты рождения и данные банковских карт.
Получатели писем начали публиковать скриншоты на Reddit и передали образцы журналистам. Анализ технических заголовков показал, что рассылку отправили через сервис Twilio SendGrid — платформу, которую компании часто используют для отправки квитанций, уведомлений и маркетинговых сообщений. Сообщения прошли проверки SPF, DKIM и DMARC для домена hungerrush.com, поэтому почтовые системы приняли письма как легитимные.
На фоне инцидента сооснователь Hudson Rock Алон Гал сообщил в LinkedIn о возможной причине утечки. По данным логов инфостилера, в октябре 2025 года вредоносная программа могла заразить устройство сотрудника HungerRush и похитить корпоративные учётные данные. В числе затронутых сервисов Гал упомянул NetSuite, системы учёта QuickBooks, платёжные панели Stripe, сервис Bill.com, корпоративные инструменты Visa Online и среду Salesforce.
Позднее HungerRush заявила, что расследование не подтвердило связь между тем заражением и текущим инцидентом. Компания признала факт нарушения безопасности и уже уведомила правоохранительные органы.
По версии HungerRush, злоумышленник получил доступ к аккаунту сервиса email-маркетинга, используя учётные данные стороннего поставщика. Через этот доступ удалось получить контактную информацию клиентов — имена, адреса электронной почты, почтовые адреса и номера телефонов — после чего началась рассылка сообщений с угрозами.
Компания утверждает, что более чувствительные сведения не пострадали. Пароли, даты рождения, номера социального страхования и данные банковских карт в утечку не попали. HungerRush также подчёркивает, что системы платформы не хранят номера платёжных карт. Следов компрометации других сервисов пока не обнаружили.
В качестве меры предосторожности доступ к затронутому почтовому сервису отключили, чтобы остановить дальнейшую рассылку. Расследование продолжается.