Wynn Resorts dataintrång bekräftat: 21 000 anställda påverkade

Wynn Resorts har bekräftat att 21 775 anställda drabbades av ett dataintrång som slog mot den lyxiga kasinooperatören i Las Vegas i oktober förra året. Företaget lämnade denna vecka in en officiell anmälan till Maine Attorney General's Office. Attacken riktade sig mot interna HR-system och slutade nästan säkert med en lösensumma för att hålla den stulna datan borta från offentligheten.

En lösensumma Wynn inte vill diskutera

Historien blev offentlig i slutet av februari 2026. ShinyHunters listade Wynn på sin läcksajt på dark web och hävdade att de hade stulit över 800 000 anställdas uppgifter. Dessa uppgifter inkluderade personnummer och annan känslig personlig information. Gruppen gav Wynn fram till den 23 februari att ta kontakt, annars hotade de med att publicera datan.

Kort efter att tidsfristen löpt ut försvann Wynn från läcksajten. Det har en tydlig betydelse i cyberkriminella kretsar. Grupper som ShinyHunters tar bort offer efter att förhandlingar om lösensumma avslutats. Wynn har varken bekräftat eller förnekat någon betalning. Intrångsanmälan som lämnats in i Maine uppger att hotaktören bekräftade att all stulen data har raderats. Säkerhetsexperter kopplar konsekvent den formuleringen till en genomförd lösensummeuppgörelse.

Det rapporterade kravet låg på strax över 22 bitcoin, motsvarande ungefär 1,5 miljoner dollar. Wynn driver lyxresorter i både Las Vegas och Macau. Själva summan var inte det verkliga problemet. Problemet är att lita på att kriminella faktiskt raderar stulen data. Det finns inget sätt att verifiera det.

Vad angriparna kom över

Angriparna använde stulna anställdas inloggningsuppgifter för att ta sig in i Wynns system. De utnyttjade en sårbarhet i Oracle PeopleSoft, HR-plattformen som Wynn använde för att hantera personaldata. Den stulna informationen omfattade namn, personnummer, födelsedatum, e-postadresser, telefonnummer, jobbtitlar, löner och anställningsdatum.

Personnummer är den mest allvarliga delen av detta dataintrång för de drabbade anställda. Ett stulet lösenord kan ändras. Ett stulet personnummer kan leda till identitetsstöld och bedrägerier i många år framöver. Wynn erbjuder två års gratis kredituppföljning till alla 21 775 drabbade anställda. Säkerhetsexperter påpekar att ett sådant erbjudande betyder lite om datan aldrig faktiskt raderades.

Vem ligger bakom

ShinyHunters tog på sig attacken. Forskare tror nu att en grupp kallad Scattered Lapsus$ Hunters ligger bakom. Gruppen bildades 2025 genom en sammanslagning av medlemmar från ShinyHunters, Lapsus$ och Scattered Spider. Intrånget hos Wynn verkar vara en del av en bredare kampanj som riktat sig mot över 100 organisationer. Scattered Spider stod ensamt bakom de stora kasinoattackerna i Las Vegas under 2024. Wynn ansluter sig nu till en lång lista av spelbolag som drabbats av detta nätverk.

Federal grupptalan inlämnad

En grupptalan lämnades in till US District Court for Nevada kort efter att intrånget blivit offentligt. Stämningen anklagar Wynn för att ha lagrat anställdas data utan kryptering. Den hävdar också att företaget inte implementerade multifaktorautentisering och försummade grundläggande säkerhetsutbildning för personalen. Käranden beskriver Wynns hantering av känslig data som vårdslös.

Stämningen kräver skadestånd, obligatoriska årliga säkerhetsrevisioner och utökad kredituppföljning. Något förhandlingsdatum är ännu inte satt. Wynns aktie föll med cirka sex procent när nyheten först kom, innan den delvis återhämtade sig.

Casinon förblir ett prioriterat mål

Dataintrånget hos Wynn Resorts följer ett mönster som fortsätter att upprepas. Kasinooperatörer i Las Vegas har blivit ett favoritmål för organiserad cyberbrottslighet under de senaste två åren. Dessa företag hanterar stora mängder känslig data. Löneuppgifter, lojalitetsprogram, finansiella transaktioner och HR-databaser ligger bakom system som kriminella aktivt försöker ta sig in i.

Wynn bekräftade att kasinodriften aldrig stördes. Alla sju resorter fortsatte att fungera under hela incidenten. Det finns inga rapporter om att gästdata komprometterats. För kunder är det goda nyheter. För de 21 775 drabbade anställda ser situationen annorlunda ut. Deras mest känsliga personuppgifter har passerat genom kriminellas händer. Den enda försäkran om att de är borta kommer från dem som stal dem.