تشارتر كوميونيكيشنز تؤكد اختراق بيانات بعد ادعاء ShinyHunters سرقة 40 مليون سجل لعملاء Spectrum
تشارتر كوميونيكيشنز — المشغل الأمريكي للكابل والإنترنت العريض تحت علامة Spectrum — أكدت يوم الثلاثاء اختراقاً للبيانات بعد أن ادعت مجموعة الابتزاز ShinyHunters سرقة 40 مليون سجل للعملاء وهددت بنشرها إن لم تُدفع فدية. تشارتر نفت خطورة الاختراق في بيان موجز لكنها أقرت بالحادثة وقالت إنها أبلغت السلطات.
الاختراق وقع على ما يبدو في مطلع أبريل، عندما استخدم ShinyHunters هجوماً بالتصيد الصوتي (vishing) لاختراق بيانات اعتماد الدخول الموحد (SSO) لأحد موظفي تشارتر عبر Microsoft Entra (Azure AD)، وفقاً لـ BleepingComputer. وباستخدام تلك البيانات، تمكن المهاجمون من الوصول إلى منصة Salesforce للبيانات الخاصة بالعملاء وتصدير سجلات تشمل الحسابات السكنية والتجارية.
ما الذي تمت سرقته
تدّعي ShinyHunters أن مجموعة البيانات المسروقة تتضمن أسماء العملاء، عناوين البريد الإلكتروني، العناوين الفعلية، أرقام الهواتف، تفاصيل خطط الخدمة، ومحتوى تذاكر الدعم من بيئة Salesforce. وتضع المجموعة عدد السجلات عند 40 مليوناً، وهو ما يمثل جزءاً كبيراً من مشتركي تشارتر في النطاق العريض البالغ عددهم حوالي 32 مليوناً.
بيان تشارتر كان مقتضباً: "نحن على علم بالموقف، نتبع بروتوكولاتنا الأمنية ونعمل على إبلاغ السلطات المختصة." وأضافت الشركة أن "لا معلومات شخصية حساسة أو معلومات شبكة مملوكة للعملاء تم تسريبها من قبل المهاجم." وهذا التوصيف — الذي يبدو أنه يعتمد على تعريف ضيق لـ "المعلومات الشخصية الحساسة" قد لا يشمل الأسماء والعناوين وأرقام الهواتف — يتعارض مع نطاق ما تدّعي ShinyHunters أنها تمتلكه. مدى التعرض الفعلي لا يزال غير مؤكد بشكل مستقل.
حملة ShinyHunters المتصاعدة ضد تطبيقات SaaS
هذا الاختراق هو الأحدث في حملة طويلة لـ ShinyHunters تتبع نمطاً ثابتاً: هجمات vishing ضد الموظفين أو متعاقدي BPO (الاستعانة بمصادر خارجية للعمليات التجارية) لسرقة بيانات اعتماد SSO، يليها استخراج البيانات من تطبيقات SaaS المتصلة — Salesforce بشكل خاص — ثم الابتزاز. المجموعة نفذت نفس الأسلوب ضد عدة أهداف في الأشهر الأخيرة.
شركة Instructure، المالكة لنظام إدارة التعلم Canvas الذي يستخدمه ملايين الطلاب والأكاديميين في الجامعات والمدارس، تم استهدافها بنفس الأسلوب. ويُقال إن ShinyHunters توصلت إلى "اتفاق" غير معلن مع Instructure بعد سرقة عشرات الملايين من سجلات الطلاب — وهي لغة تعني عادة دفع فدية. كما كشفت سلسلة 7-Eleven عن اختراق يُعزى إلى ShinyHunters هذا الأسبوع، مع تأكيد سرقة 183 ألف سجل للعملاء.
النمط يسلط الضوء على تحول في كيفية تنفيذ سرقات البيانات الكبيرة. فبدلاً من استغلال ثغرات الخوادم غير المصححة، يقوم ShinyHunters بشكل منهجي باختراق العناصر البشرية — بيانات الاعتماد التي تربط الموظفين بمنصات السحابة — ثم يسحب البيانات مباشرة من تلك المنصات. لا حاجة لاستغلال zero-day؛ فالهندسة الاجتماعية إلى جانب بيانات اعتماد SSO الصالحة توفر نفس مستوى الوصول كاختراق الخادم المباشر، مع مخاطر تقنية أقل وأدلة جنائية أقل.
ما يجب على عملاء Spectrum فعله
تشارتر لم تعلن بعد ما إذا كانت ستخطر العملاء المتأثرين بشكل مباشر. بالنظر إلى أنواع البيانات التي تدّعي ShinyHunters امتلاكها — العناوين المنزلية، أرقام الهواتف، معلومات خطة الخدمة — يجب على العملاء الحذر من محاولات التصيد الموجهة وهجمات تبديل بطاقة SIM (SIM-swap) باستخدام هذه المعلومات. أي شخص يتلقى اتصالاً غير متوقع يدّعي أنه من Spectrum، أو يلاحظ تغييرات غير عادية في خدمة الهاتف، يجب عليه الاتصال بتشارتر مباشرة عبر القنوات الرسمية بدلاً من الرد على الاتصالات الواردة.
هذا النمط من الاختراق عبر Salesforce يستحق أيضاً اهتمام فرق الأمن في المؤسسات. المنظمات التي تستخدم Salesforce كمستودع لبيانات العملاء يجب أن تراجع حسابات الموظفين التي لديها صلاحيات تصدير في Salesforce، وما إذا كانت تلك الحسابات محمية بـ MFA مقاوم للتصيد (مفاتيح الأجهزة أو passkeys بدلاً من SMS أو TOTP)، وما إذا كانت بيئات Salesforce تحتوي على مراقبة وتنبيه لنشاط التصدير.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source