38 Million ManoMano Customers Just Got Caught in a Third-Party Security Nightmare
That's not a typo. Thirty-eight million people. A European DIY retail giant just confirmed one of the year's bigger cybersecurity disasters, and the culprit wasn't even ManoMano's own systems—it was a third-party service provider that went sideways. According to BleepingComputer, this is a confirmed security incident, which means we're not dealing with speculation or rumors here.
This is the kind of breach that keeps security teams up at night.
Breaking It Down
ManoMano, which operates across Europe as a go-to destination for DIY enthusiasts and home improvement supplies, suffered a data breach tied to a third-party vendor. That's the frustrating part—the company's own security posture might've been fine, but they trusted someone else who wasn't properly secured. It's like hiring a locksmith only to discover he left the front door open.
The breach came to light on February 26, 2026, which means there's been some time for investigation and confirmation. BleepingComputer reported the incident with solid sourcing, so we're looking at legitimate cybersecurity news, not speculation.
And here's what matters most: 38 million customer records were exposed. That's not just a number on a spreadsheet. That's millions of people whose personal information is now floating in the wrong hands.
The Technical Side
Third-party breaches work like this—Company A (ManoMano) integrates services from Company B (the compromised vendor). Company B gets breached. All of Company A's customer data that flows through Company B becomes vulnerable. The attacker doesn't need to crack ManoMano's defenses; they just need to compromise the vendor sitting in the middle.
This is particularly nasty because it reveals a gap in what cybersecurity professionals call "supply chain security."
You can have excellent security controls internally, but if your vendors don't match that standard, you're only as strong as the weakest link. And right now, that link broke.
So why does this matter from a technical standpoint? Third-party integrations mean data leaves your direct control. It sits on someone else's servers. If they're not maintaining encryption, access controls, and monitoring properly, that's where breaches happen.
Who's Affected
Any ManoMano customer with an account created between whenever the vendor integration started and the breach was discovered—that's potentially you. We're talking names, email addresses, purchase history, and potentially payment information depending on what data the third party actually stored.
ManoMano operates across Europe, so the impact spans multiple countries and regulatory jurisdictions. That means GDPR enforcement is coming, investigations are ramping up, and fines will likely follow.
The real question is whether the vendor had access to payment card data or just customer account information. If it's the former, fraud risk shoots up significantly.
What To Do Now
First: change your ManoMano password immediately. Use something unique that you don't use anywhere else. Not "DIY2024" with a number added—I mean something genuinely different.
Second: enable two-factor authentication on that account if it's available. This creates a second barrier even if your password gets cracked.
Third: monitor your credit for the next year. Check your credit reports at least twice. Watch for suspicious charges and fraudulent accounts. If you used ManoMano with a debit card, consider placing a fraud alert with your bank.
And look—if you notice suspicious activity linked to your ManoMano account, report it directly to the company and your financial institutions. Don't wait.
For organizations watching this unfold: this is your sign to audit your third-party vendor security practices. Require vendors to maintain SOC 2 certification or equivalent. Make security audits a contract requirement. Don't assume someone else is protecting your customers' data the way you would.
38 мільйонів клієнтів ManoMano потрапили в кошмар безпеки третьої сторони
Це не опечатка. Тридцять вісім мільйонів людей. Європейський гігант DIY ретейлу щойно підтвердив одну з найбільших кібербезпекових катастроф цього року, і винуватцем виявилася не сама система ManoMano—це був постачальник третьої сторони, який завів справу невдало. За повідомленням BleepingComputer, це підтверджений інцидент безпеки, що означає—ми не маємо справу зі спекуляціями чи чутками.
Це саме той вид витоку, який не дає спати командам безпеки вночі.
Розбір ситуації
ManoMano, який працює по всій Європі як улюблене місце для ентузіастів DIY та товарів для домашнього ремонту, постраждав від витоку даних, пов'язаного з постачальником третьої сторони. Ось що дратує—власна позиція компанії щодо безпеки могла б бути в порядку, але вони довіряли комусь іншому, хто не був належним чином захищений. Це як найняти слюсара і виявити, що він залишив передні двері відчиненими.
Вітік став відомим 26 лютого 2026 року, що означає, що пройшов час на розслідування та підтвердження. BleepingComputer повідомив про інцидент із твердою базою джерел, тому ми маємо справу з легітимними новинами кібербезпеки, а не спекуляціями.
А ось що найважливіше: були розкриті записи про 38 мільйонів клієнтів. Це не просто число на розрахунковому листі. Це мільйони людей, чия особиста інформація тепер у неправильних руках.
Технічна сторона
Вітоки третьої сторони працюють так—Компанія A (ManoMano) інтегрує сервіси Компанії B (скомпрометований постачальник). Компанія B була взломана. Всі дані клієнтів Компанії A, які проходять через Компанію B, стають вразливими. Зловмисник не повинен зламувати оборони ManoMano; йому потрібно лише скомпрометувати постачальника, що сидить посередині.
Це особливо огидно, тому що розкриває прогалину в тому, що фахівці з кібербезпеки називають «безпекою ланцюга поставок».
Ви можете мати чудові контролі безпеки всередині, але якщо ваші постачальники не відповідають цьому стандарту, ви сильні лише наскільки сильна ваша найслабша ланка. І прямо зараз ця ланка порвалася.
Чому це має значення з технічної точки зору? Інтеграції третьої сторони означають, що дані залишають ваш прямий контроль. Вони сидять на чужих серверах. Якщо вони не поддерживають належне шифрування, контроль доступу та моніторинг, саме там відбуваються витоки.
Кого це стосується
Будь-якого клієнта ManoMano з акаунтом, створеним з моменту початку інтеграції постачальника і до виявлення витоку—це потенційно вас. Ми говоримо про імена, електронні адреси, історію покупок і потенційно інформацію про платежі залежно від того, які дані третя сторона насправді зберігала.
ManoMano працює по всій Європі, тому вплив охоплює декілька країн та нормативних юрисдикцій. Це означає, що примушення GDPR наближається, розслідування наростають, і штрафи, ймовірно, будуть.
Справжнє питання в тому, чи мав постачальник доступ до даних платіжних карток або лише до інформації про клієнтські акаунти. Якщо це перше, ризик шахрайства різко зростає.
Що робити тепер
По-перше: негайно змініть свій пароль ManoMano. Використовуйте щось унікальне, що ви не використовуєте більше ніде. Не «DIY2024» з доданим номером—я маю на увазі щось дійсно інше.
По-друге: увімкніть двофакторну аутентифікацію на цьому акаунті, якщо вона доступна. Це створює другий бар'єр, навіть якщо ваш пароль буде зламаний.
По-третє: стежте за своєю кредитною історією впродовж наступного року. Перевірте свої кредитні звіти щонайменше двічі. Стежте за підозрілими платежами та шахрайськими акаунтами. Якщо ви користувалися ManoMano дебетовою картою, розглядайте можливість подачі попередження про шахрайство у свій банк.
І послухайте—якщо ви помітите підозрілу активність, пов'язану з вашим акаунтом ManoMano, повідомте про це безпосередньо компанії та своїм фінансовим установам. Не чекайте.
Для організацій, що спостерігають за цим: це ваш знак провести аудит практик безпеки третьої сторони. Вимагайте від постачальників поддерживати сертифікацію SOC 2 або еквівалент. Зробіть аудити безпеки вимогою контракту. Не припускайте, що хтось інший захищає дані ваших клієнтів так, як ви б то робили.