De Amerikaanse broodjesketen Panera Bread heeft de persoonlijke gegevens van 5,1 miljoen klanten gelekt. De criminelen die de data buitmaakten claimden in eerste instantie de gegevens van veertien miljoen klanten in handen te hebben. De gestolen data bestaat uit namen, adresgegevens, telefoonnummers en e-mailadressen. De aanval werd opgeëist door een groep criminelen die zichzelf ShinyHunters noemt, die de datadiefstal op de eigen website aankondigde. Inmiddels zijn in de Verenigde Staten drie massaclaims over het datalek gestart.

Panera Bread bevestigde de datadiefstal tegenover persbureau Reuters en stelde dat er contactgegevens zijn buitgemaakt. Hoe de aanval kon plaatsvinden heeft Panera Bread niet laten weten. De criminelen stelden tegenover The Register dat ze via een Microsoft Entra single-sign-on (SSO) code toegang tot de dataset hadden gekregen. Verdere details werden niet gegeven.

De 5,1 miljoen gestolen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via de website kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bij Panera buitgemaakte e-mailadressen was 77 procent al via een ander datalek bij de zoekmachine bekend. Panera Bread telt meer dan tweeduizend locaties in de Verenigde Staten en Canada en had in 2024 een omzet van een geschatte 6 miljard dollar.