A gigante de telecomunicações Charter Communications confirmou ter sofrido uma violação de dados após o grupo de extorsão ShinyHunters ameaçar vazar informações roubadas caso um resgate não fosse pago.
A Charter Communications é uma das maiores provedoras de banda larga dos Estados Unidos e atende dezenas de milhões de clientes residenciais e corporativos por meio da marca Spectrum.
Em uma nota divulgada neste fim de semana, a empresa informou que está comunicando as autoridades sobre o incidente e que nenhuma informação pessoal sensível de clientes foi roubada.
“Temos conhecimento da situação, estamos seguindo nossos protocolos de segurança e estamos em processo de notificar as autoridades competentes”, disse a Charter.
“Nenhuma informação pessoal sensível ou dados de informações proprietárias da rede do cliente foram exfiltrados pelo threat actor como resultado da atividade recente.”
A manifestação veio após a inclusão da Charter no site de vazamento de dados do ShinyHunters, onde os atacantes alegaram ter roubado 40 milhões de registros com informações pessoais de clientes residenciais e corporativos.
O ShinyHunters afirmou ter invadido a Charter em 1º de abril por meio de um ataque de vishing, que comprometeu a conta Microsoft Entra de um funcionário.
Com esse acesso, os threat actors teriam exportado milhões de registros de clientes residenciais e corporativos do ambiente da empresa no Salesforce.
Segundo o threat actor, os registros roubados contêm nomes, endereços de e-mail, endereços físicos, números de telefone, tipo de telefone, informações do plano e alguns dados de CPNI.
O grupo também afirma ter roubado dados de tickets de suporte ao cliente.
A Charter foi novamente procurada para comentar a alegação de que dados adicionais de clientes, incluindo parte do CPNI, teriam sido roubados, mas a empresa reiterou sua declaração original.
Desde o ano passado, o grupo de extorsão vem conduzindo campanhas amplas de engenharia social contra contas Microsoft Entra, Okta e Google SSO de funcionários e agentes de BPO.
Depois de obter acesso a uma conta corporativa de SSO, os threat actors roubam dados de aplicações SaaS conectadas, como Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox e muitas outras.
Esses dados roubados são então usados para extorquir a empresa, com a ameaça de vazamento caso o resgate não seja pago.
O Salesforce tem sido um alvo frequente da quadrilha.
Em vários casos, os threat actors invadiram empresas de integração para roubar tokens OAuth, que depois podem ser usados para acessar instâncias do Salesforce.
Mais recentemente, o ShinyHunters realizou múltiplos ataques contra a empresa de tecnologia educacional Instructure, provocando interrupções no Canvas e o roubo de dados de dezenas de milhões de estudantes.
A Instructure afirmou posteriormente ter chegado a um “acordo” com o grupo de extorsão, o que indica que provavelmente pagou um resgate para evitar a divulgação pública dos dados roubados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...