Charter Communications подтвердила киберинцидент после заявления ShinyHunters о краже данных

Один из крупнейших операторов широкополосного доступа в США Charter Communications (бренд Spectrum) признал факт киберинцидента после того, как вымогательская группировка ShinyHunters пригрозила опубликовать похищенные данные. По заявлению компании, чувствительная персональная информация клиентов и данные CPNI не были похищены, тогда как злоумышленники утверждают, что выгрузили 40 млн записей из Salesforce-инстанса оператора.

Американская телекоммуникационная компания Charter Communications, обслуживающая под брендом Spectrum десятки миллионов абонентов широкополосного доступа, подтвердила инцидент с безопасностью после того, как её карточка появилась на сайте утечек вымогательской группировки ShinyHunters. В заявлении для СМИ компания сообщила, что следует своим протоколам безопасности и уведомляет соответствующие органы, и подчеркнула, что в результате недавней активности злоумышленника не были похищены ни чувствительная персональная информация (PI), ни сведения, относящиеся к категории CPNI (Customer Proprietary Network Information — служебная информация о клиентах и услугах связи, охраняемая в США отраслевым регулированием).

На своей площадке для слива данных ShinyHunters заявили о краже 40 млн записей с персональными сведениями частных и корпоративных клиентов Charter. По версии атакующих, изложенной изданию BleepingComputer, первоначальный доступ был получен 1 апреля через голосовой фишинг (vishing): злоумышленники скомпрометировали учётную запись сотрудника в Microsoft Entra и затем выгрузили данные клиентов из корпоративного экземпляра Salesforce. Среди полей, которые упоминают атакующие, — имена, адреса электронной почты, почтовые адреса, телефоны, тип номера, информация о тарифных планах, часть данных CPNI, а также материалы тикетов клиентской поддержки. Charter на повторный запрос об этих утверждениях сослалась на своё первоначальное заявление.

ShinyHunters в течение последнего года ведут массовые кампании социальной инженерии против сотрудников компаний и аутсорсинговых колл-центров (BPO), охотясь за корпоративными учётными записями SSO в Microsoft Entra, Okta и Google. Получив доступ, атакующие выгружают данные из подключённых SaaS-сервисов — Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox и других — и затем требуют выкуп под угрозой публикации. Salesforce стал одной из приоритетных целей группы: в ряде эпизодов злоумышленники проникали в компании-интеграторы и похищали OAuth-токены, открывающие доступ к чужим Salesforce-инстансам. Ранее аналогичной серии атак подверглась образовательная платформа Instructure (разработчик LMS Canvas), которая, по имеющимся сведениям, в итоге пошла на «соглашение» с вымогателями.