ShinyHunters заявили о краже десятков миллионов записей у Charter

Charter Communications, владелец бренда Spectrum, подтвердила расследование инцидента и уведомление профильных органов. Компания не раскрыла технические детали атаки, не назвала число потенциально затронутых клиентов и не сообщила о перебоях в работе сервисов. В коротком заявлении оператор отметил, что не видит факта вывода чувствительной персональной информации или CPNI в результате недавней активности злоумышленников.

ShinyHunters разместили Charter на своём сайте утечек. В разных публикациях и мониторингах фигурирует разброс в заявленном объёме: от 40 млн до более чем 42 млн записей. CyberInsider отдельно подчеркивает, что точный состав якобы украденных данных не был независимо подтвержден.

Сами вымогатели заявили, что получили доступ 1 апреля через голосовой фишинг — vishing. При такой атаке сотрудника убеждают передать код, подтвердить вход или выполнить действие, которое даёт доступ к корпоративной учётной записи. В версии ShinyHunters была скомпрометирована учётная запись Microsoft Entra, после чего атакующие экспортировали записи из Salesforce-инстанса Charter. Charter эти детали публично не подтвердила.

ShinyHunters утверждают, что база содержит имена клиентов, адреса электронной почты, физические адреса, номера телефонов, типы телефонов, сведения о тарифных планах, часть CPNI и данные обращений в поддержку. Это заявление исходит от самих злоумышленников и требует отдельной проверки. Charter в ответ на уточняющие вопросы вернула журналистов к первоначальной позиции: чувствительные персональные данные и CPNI, по данным компании, не были выведены.

CPNI — это Customer Proprietary Network Information, то есть данные о том, как клиент пользуется телеком-услугами. В эту категорию могут входить сведения о подключенных услугах, тарифе, типе сервиса и параметрах обслуживания. Такие данные ценны для мошенников, потому что помогают делать фишинговые письма и звонки убедительнее.

Charter — один из крупнейших операторов связи в США. Через Spectrum компания продает услуги интернета, мобильной связи, телевидения и голосовых услуг. На корпоративном сайте Charter указаны 57 млн+ доступных домов и офисов в 41 штате, 31,7 млн клиентских договоров и $54,8 млрд годовой выручки за 2025 год.

Даже при отсутствии подтвержденной утечки платежных данных такая база может быть полезна для социальной инженерии. Имя, адрес, телефон, e-mail, тариф и история обращений в поддержку позволяют собрать правдоподобный сценарий: «мы из Spectrum», «видим ваш недавний тикет», «нужно подтвердить аккаунт», «обновите платёжные данные».

Эта атака вписывается в серию инцидентов, где целью становятся не классические серверы компании, а облачные бизнес-системы и единый вход. BleepingComputer пишет, что ShinyHunters с прошлого года проводят кампании социальной инженерии против сотрудников и подрядчиков, пытаясь получить доступ к Microsoft Entra, Okta и Google SSO. После входа в корпоративную учётную запись атакующие ищут данные в SaaS-сервисах: Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox и других.

Salesforce уже называли популярной целью для таких атак. The Register в марте писал о кампании против Salesforce Experience Cloud: речь шла о публичных сайтах с чрезмерно широкими правами гостевого профиля. Salesforce тогда заявляла, что проблема связана не с уязвимостью платформы, а с ошибочными настройками клиентских Experience Cloud-сайтов.

ShinyHunters используют модель вымогательства без обязательного шифрования инфраструктуры. Сначала группа крадёт данные, затем публикует жертву на сайте утечек и ставит срок для переговоров. В случае Charter в публикациях фигурировал дедлайн 27 мая 2026 года.

Похожий сценарий уже появлялся в инциденте с ADT. В апреле компания подтвердила несанкционированный доступ к данным клиентов и потенциальных клиентов после угроз ShinyHunters. Тогда ADT заявляла, что были затронуты имена, телефоны и адреса, а в небольшой доле записей — даты рождения и последние четыре цифры SSN или налогового номера. Платежные данные и системы безопасности клиентов, как утверждала ADT, не пострадали.