Charter Communications bestätigt Datenleck – ShinyHunters behaupten 40 Millionen Kundendatensätze von Spectrum

Charter Communications – der US-amerikanische Kabel- und Breitbandanbieter hinter der Marke Spectrum – hat am Dienstag ein Datenleck bestätigt, nachdem die Erpressergruppe ShinyHunters behauptet hatte, 40 Millionen Kundendatensätze gestohlen zu haben, und mit deren Veröffentlichung drohte, falls kein Lösegeld gezahlt werde. Charter wies die Schwere des Vorfalls in einer kurzen Stellungnahme zurück, räumte den Vorfall jedoch ein und teilte mit, die Behörden informiert zu haben.

Der Vorfall ereignete sich laut BleepingComputer Anfang April, als ShinyHunters einen Voice-Phishing-Angriff (Vishing) einsetzte, um die Microsoft-Entra-(Azure AD)-Single-Sign-On-Zugangsdaten eines Charter-Mitarbeiters zu kompromittieren. Mit diesen Anmeldedaten verschafften sich die Angreifer Zugriff auf die Salesforce-Kundendatenplattform von Charter und exportierten Datensätze von Privat- und Geschäftskunden.

Was wurde gestohlen

Laut ShinyHunters umfassen die gestohlenen Daten Kundenname, E-Mail-Adressen, physische Adressen, Telefonnummern, Details zu Serviceplänen sowie Support-Ticket-Inhalte aus der Salesforce-Umgebung von Charter. Die Gruppe beziffert die Anzahl der Datensätze auf 40 Millionen, was einem erheblichen Teil der rund 32 Millionen Breitbandabonnenten von Charter entsprechen würde.

Die Stellungnahme von Charter war knapp: „Wir sind uns der Situation bewusst, befolgen unsere Sicherheitsprotokolle und informieren die zuständigen Behörden." Das Unternehmen fügte hinzu, dass „keine sensiblen persönlichen Daten oder kundeneigene Netzwerkinformationen durch den Bedrohungsakteur abgeflossen seien." Diese Darstellung – die auf einer engen Definition von „sensiblen persönlichen Daten" zu basieren scheint, die möglicherweise Namen, Adressen und Telefonnummern ausschließt – widerspricht dem Umfang dessen, was ShinyHunters nach eigenen Angaben besitzt. Das tatsächliche Ausmaß des Lecks ist unabhängig noch nicht bestätigt.

ShinyHunters' Eskalierende SaaS-Kampagne

Dieser Vorfall ist der jüngste in einer anhaltenden Kampagne von ShinyHunters, die einem einheitlichen Muster folgt: Vishing-Angriffe auf Mitarbeiter oder Auftragnehmer von BPO (Business Process Outsourcer), um SSO-Zugangsdaten zu stehlen, gefolgt von Datenextraktion aus angeschlossenen SaaS-Anwendungen – insbesondere Salesforce – und anschließender Erpressung. Die Gruppe hat dieses Vorgehen in den letzten Monaten gegen mehrere Ziele angewandt.

Instructure, das Unternehmen hinter dem Learning-Management-System Canvas, das von Millionen Studierenden und Lehrkräften an Universitäten und Schulen genutzt wird, wurde mit derselben Methode angegriffen. Berichten zufolge erzielte ShinyHunters nach dem Diebstahl von zig Millionen Studierendendatensätzen eine nicht näher bezifferte „Vereinbarung" mit Instructure – eine Formulierung, die üblicherweise auf eine Lösegeldzahlung hindeutet. Auch die 7-Eleven-Kette gab diese Woche ein Leck bekannt, das ShinyHunters zugeschrieben wird, mit 183.000 bestätigt gestohlenen Kundendatensätzen.

Das Muster verdeutlicht einen Wandel bei der Durchführung großer Datendiebstähle. Anstatt ungepatchte Server-Sicherheitslücken auszunutzen, kompromittiert ShinyHunters systematisch menschliche Operatoren – die Anmeldedaten, die Mitarbeiter mit Cloud-Plattformen verbinden – und zapft die Daten direkt von diesen Plattformen ab. Kein Zero-Day erforderlich; Social Engineering plus gültige SSO-Zugangsdaten bieten die gleiche Zugriffsebene wie eine direkte Server-Kompromittierung, bei geringerem technischen Risiko und weniger forensischen Spuren.

Was Spectrum-Kunden tun sollten

Charter hat noch nicht mitgeteilt, ob betroffene Kunden direkt benachrichtigt werden. Angesichts der Datentypen, die ShinyHunters eigenen Angaben zufolge besitzt – Privatadressen, Telefonnummern, Informationen zum Serviceplan – sollten Kunden auf gezielte Phishing-Versuche und SIM-Swap-Angriffe achten, die auf diesen Informationen basieren. Wer unerwartete Kontaktaufnahmen angeblich von Spectrum erhält oder ungewöhnliche Änderungen an seinem Telefondienst bemerkt, sollte Charter direkt über offizielle Kanäle kontaktieren, anstatt auf eingehende Nachrichten zu reagieren.

Der Salesforce-Breach-Vektor ist auch für Unternehmenssicherheitsteams von Bedeutung. Organisationen, die Salesforce als Kundendaten-Repository nutzen, sollten prüfen, welche Mitarbeiterkonten über Salesforce-Exportberechtigungen verfügen, ob diese Konten durch phishing-resistente MFA (Hardware-Schlüssel oder Passkeys statt SMS oder TOTP) geschützt sind und ob ihre Salesforce-Instanzen über Exportaktivitätsüberwachung und -warnungen verfügen.