ShinyHunters haben Charter Communications durch einen Vishing-Anruf gehackt – 4,9 Millionen Kundendaten offengelegt

Charter Communications, die Muttergesellschaft von Spectrum Internet-, Kabel- und Fernsehdiensten, hat einen erheblichen Datenverstoß bestätigt, der Millionen seiner Kunden betrifft. Der Verstoß, der am 1. April 2026 begann, wurde mehr als sieben Wochen lang nicht offengelegt – eine Verzögerung, die ernsthafte Fragen zu den Pflichten des Unternehmens gegenüber seinen Kunden und Aufsichtsbehörden aufwirft.

How It Happened

Der Einbruch begann nicht mit einem ausgeklügelten Zero-Day-Exploit oder einer komplexen Schadsoftware, sondern mit einem Telefonanruf. Am 1. April 2026 riefen Bedrohungsakteure der Gruppe ShinyHunters einen Mitarbeiter von Charter Communications an und gaben sich als vertrauenswürdige Partei aus – eine klassische Vishing-Technik (Voice-Phishing). Der Anruf war überzeugend genug, um den Mitarbeiter dazu zu bringen, seine Microsoft Entra-Anmeldedaten (ehemals Azure Active Directory) preiszugeben.

Mit diesen Anmeldedaten hatten die Angreifer legitimen Zugriff auf die Identitätsinfrastruktur von Charter. Sie nutzten diesen Zugang, um in die Salesforce-CRM-Umgebung von Charter zu gelangen, in der das Unternehmen Kundenbeziehungen, Servicedaten und Support-Interaktionen verwaltet. Einmal in Salesforce drin, exportierten sie einen umfangreichen Datensatz von Kundendaten. Die Angriffskette – Vishing-Anruf, gestohlene Entra-Anmeldedaten, Exfiltration aus Salesforce – wird zunehmend zu einem dokumentierten Playbook, das mehrere Bedrohungsgruppen nun gegen große Unternehmen einsetzen.

What Was Taken and Who's Affected

Laut Charters Offenlegung und unterstützenden Analysen umfassen die gestohlenen Daten Kundennamen, E-Mail-Adressen, physische Postanschriften, Telefonnummern, Details zu Serviceplänen sowie Kundensupport-Ticketaufzeichnungen. Diese Kombination von Daten ist besonders gefährlich, da sie hochgradig zielgerichtete Folgeangriffe ermöglicht: Spear-Phishing-E-Mails, die auf tatsächliche Kontodetails verweisen, Telefonbetrug, der genaue Serviceinformationen nutzt, um sich als Charter-Support auszugeben, sowie Social-Engineering-Angriffe auf andere Konten unter Verwendung gestohlener Anmeldedaten.

Das Ausmaß des Verstoßes ist umstritten. ShinyHunters behauptete, zwischen 40 und 42 Millionen Kundendatensätze gestohlen zu haben. Allerdings ergab eine Analyse von Troy Hunt über Have I Been Pwned – die Datensätze über verschiedene Datensätze hinweg dedupliziert – etwa 4,9 Millionen eindeutige Personen in den veröffentlichten Daten. Andere Analysen der durchgesickerten Dateien berichteten von Zahlen zwischen 13 und 42 Millionen Zeilen, abhängig von der Methodik und welche Datensätze gezählt werden.

Charter Communications bestreitet Behauptungen, dass Customer Proprietary Network Information (CPNI) gestohlen wurde. CPNI ist eine bundesrechtlich geschützte Kategorie von Telekommunikationsdaten, die Anrufaufzeichnungen, Nutzungsmuster und Netzwerkaktivitäten umfasst. Charter behauptet, dass nur Daten innerhalb seiner „Sales Tools“ – also Salesforce – abgerufen wurden und dass Kernnetzwerksysteme nicht kompromittiert wurden. ShinyHunters und unabhängige Forscher haben diese Darstellung bestritten. Die CPNI-Frage ist von großer Bedeutung: Wenn CPNI gestohlen wurde, hat Charter erhöhte regulatorische Verpflichtungen nach FCC-Regeln.

The Disclosure Timeline

Charter wurde Anfang April 2026 auf den Verstoß aufmerksam. Das Unternehmen gab den Vorfall jedoch erst Ende Mai 2026 öffentlich bekannt – mehr als sieben Wochen nach der ursprünglichen Kompromittierung. In diesem Zeitraum hatten Kunden, deren Daten gestohlen worden waren, keine Möglichkeit zu erfahren, dass ihre Informationen sich in den Händen einer Erpressungsgruppe befanden.

US-Telekommunikationsunternehmen unterliegen den FCC-Datenverstoß-Benachrichtigungsregeln, die eine Benachrichtigung der Kommission und der betroffenen Kunden „ohne unangemessene Verzögerung“ – und in bestimmten Fällen innerhalb von 30 Tagen – vorschreiben. Landesgesetze fügen weitere Ebenen hinzu: Kaliforniens CCPA beispielsweise verlangt eine Benachrichtigung „so schnell wie möglich“. Ob Charters Zeitspanne von mehr als sieben Wochen eine Einhaltung oder einen Verstoß darstellt, ist eine Frage, die die Aufsichtsbehörden nun möglicherweise prüfen.

Der Zeitpunkt der öffentlichen Bekanntgabe fällt mit dem Beginn der Veröffentlichung der gestohlenen Daten durch ShinyHunters auf ihrer Dark-Web-Leak-Seite zusammen – was darauf hindeutet, dass Charter möglicherweise durch die bevorstehende oder tatsächliche Veröffentlichung von Kundendaten zur Offenlegung gezwungen wurde, anstatt proaktiv zu handeln.

ShinyHunters' Track Record

ShinyHunters ist kein neuer oder unbekannter Bedrohungsakteur. Die Gruppe war in den letzten Jahren eine der produktivsten Ransomware- und Datenerpressungs-Operationen. Allein im Jahr 2024 waren sie für den Ticketmaster-Verstoß verantwortlich – allgemein als einer der größten in der Geschichte gemeldet, der etwa 560 Millionen Datensätze betraf. Im selben Jahr nutzten sie Anmeldedaten von Snowflake-Kunden in einer Kampagne, die Dutzende großer Unternehmen traf, darunter AT&T, das einen massiven Verstoß gegen Anrufaufzeichnungen erlitt, der Hunderte Millionen Kunden betraf.

Das operative Modell der Gruppe ist konsistent: Identifizierung eines hochwertigen Ziels, Beschaffung von Anmeldedaten durch Social Engineering oder Credential Stuffing, Zugriff auf Cloud-basierte Datenplattformen (Salesforce, Snowflake und ähnliche SaaS-Tools sind wiederkehrende Ziele), Exfiltration von Daten, Lösegeldforderung und Veröffentlichung, wenn das Ziel sich weigert zu zahlen. Charter scheint sich geweigert zu haben zu zahlen, und ShinyHunters setzte die Veröffentlichung durch.

The Vishing Problem

Was den Charter-Verstoß besonders lehrreich macht, ist der Einstiegspunkt. Der Angriff begann nicht damit, eine technische Sicherheitskontrolle zu überwinden. Es begann damit, mit einem Menschen am Telefon zu sprechen. Vishing – Voice-Phishing – ist zu einer zentralen Technik für große Bedrohungsgruppen geworden, die gegen große Unternehmen vorgehen. Der MGM Resorts-Verstoß im Jahr 2023, der weitgehend Akteuren zugeschrieben wird, die mit dem Scattered Spider-Kollektiv verbunden sind, begann mit einem Anruf bei der MGM-Hotline. Das Muster wiederholt sich.

Technische Abwehrmaßnahmen – Firewalls, Endpunkterkennung, Multi-Faktor-Authentifizierung, SIEM-Überwachung – bieten keinen Schutz gegen einen gut gemachten Telefonanruf, der das Vertrauen, den Autoritätsbias und den Wunsch eines Mitarbeiters, hilfreich zu sein, ausnutzt. Die Lösung erfordert eine andere Art von Investition: strenge Überprüfungsprotokolle für Passwortzurücksetzungen und Zugriffsberechtigungen, regelmäßige Schulungen der Mitarbeiter mit realistischen Vishing-Simulationen sowie strenge Out-of-Band-Bestätigungsanforderungen für jeden sensiblen Zugriff, der telefonisch gewährt wird.

Solange Organisationen die menschliche Angriffsfläche mit der gleichen Strenge behandeln wie technische Schwachstellen, werden Verstöße wie der von Charter weiterhin die Norm sein und nicht die Ausnahme.

What Charter Customers Should Do

Wenn Sie ein Spectrum-Kunde sind oder waren, sollten Sie jetzt praktische Schritte unternehmen. Überprüfen Sie zunächst, ob Ihre E-Mail-Adresse in dem Verstoß auftaucht, indem Sie Have I Been Pwned (haveibeenpwned.com) besuchen. Wenn Ihre Daten bestätigt wurden, seien Sie besonders wachsam gegenüber Phishing-E-Mails, die auf Ihre tatsächlichen Charter-Kontodetails verweisen – die Angreifer haben jetzt die Informationen, um diese E-Mails sehr überzeugend aussehen zu lassen.

Da Berichten zufolge physische Adressen zu den gestohlenen Datenfeldern gehörten, sollten Kunden auch eine Kreditsperre bei den drei großen Agenturen (Equifax, Experian, TransUnion) in Betracht ziehen, um betrügerische Kontoeröffnungen unter Verwendung Ihrer Adresse zu verhindern. Überwachen Sie Ihr Charter-Konto auf unbefugte Änderungen der Servicepläne oder Kontaktdaten, und seien Sie skeptisch bei eingehenden Anrufen, die vorgeben, vom Charter-Support zu sein – die gestohlenen Support-Ticket-Daten geben Angreifern Kenntnis Ihrer tatsächlichen Servicehistorie.

The Bigger Problem

Der Verstoß selbst – so schwerwiegend er auch ist – ist möglicherweise nicht das bedeutendste Problem hier. Millionen von Kundendaten, die von einer bekannten Ransomware-Gruppe gestohlen wurden, sind ein schlechter Tag für Charter. Aber die siebenwöchige Lücke zwischen Verstoß und Offenlegung ist eine andere Art von Versagen: ein Versagen der unternehmerischen Verantwortung gegenüber den Kunden, die Charter ihre persönlichen Daten anvertraut haben.

Während dieser sieben Wochen waren Charter-Kunden Phishing-, Betrugs- und Identitätsdiebstahlsrisiken ausgesetzt, von denen sie nichts wussten. Aufsichtsbehörden bei der FCC und Generalstaatsanwälte der Bundesstaaten werden diesen Zeitplan wahrscheinlich genau prüfen. Die Frage, ob Charters Offenlegung die gesetzlichen Anforderungen erfüllte – oder ob sie durch die Veröffentlichung von ShinyHunters ausgelöst wurde und nicht durch eine proaktive Entscheidung zur Benachrichtigung – wird prägen, wie diese Geschichte für die rechtliche und regulatorische Stellung des Unternehmens endet.

Der Verstoß ist passiert. Die Daten sind draußen. Was als nächstes passiert, hängt davon ab, ob die Regulierungsbehörden entscheiden, dass ein siebenwöchiges Schweigen angesichts eines bekannten Einbruchs akzeptabel ist – und ob die Antwort auf diese Frage sinnvolle Konsequenzen hat.