IRCNF
Security

Charter Communications confirma una filtración de datos después de que ShinyHunters afirme tener 40 millones de registros de clientes de Spectrum

BleepingComputer
Compartir:
Charter Communications confirma una filtración de datos después de que ShinyHunters afirme tener 40 millones de registros de clientes de Spectrum

Charter Communications — el operador de cable y banda ancha estadounidense detrás de la marca Spectrum — confirmó el martes una filtración de datos después de que el grupo de extorsión ShinyHunters afirmara haber robado 40 millones de registros de clientes y amenazara con publicarlos si no recibía un pago. Charter cuestionó la gravedad en un breve comunicado, pero reconoció el incidente y señaló que había alertado a las autoridades.

Según BleepingComputer, la filtración tuvo lugar a principios de abril, cuando ShinyHunters utilizó un ataque de vishing (phishing por voz) para comprometer las credenciales de inicio de sesión único (SSO) de Microsoft Entra (Azure AD) de un empleado de Charter. Con esas credenciales, los atacantes accedieron a la plataforma de datos de clientes de Salesforce de Charter y exportaron registros que abarcaban tanto cuentas residenciales como empresariales.

Qué se llevaron

ShinyHunters afirma que el conjunto de datos robados incluye nombres de clientes, direcciones de correo electrónico, direcciones físicas, números de teléfono, detalles de planes de servicio y contenido de tickets de soporte del entorno Salesforce de Charter. El grupo ha cifrado el recuento de registros en 40 millones, lo que representaría una parte significativa de los aproximadamente 32 millones de suscriptores de banda ancha de Charter.

El comunicado de Charter fue escueto: "Estamos al tanto de la situación, siguiendo nuestros protocolos de seguridad y estamos en proceso de alertar a las autoridades correspondientes". La compañía agregó que "no se exfiltró información personal sensible ni información de red de propiedad del cliente por parte del actor de amenazas". Esta caracterización — que parece basarse en una definición restrictiva de "información personal sensible" que quizás no incluya nombres, direcciones y números de teléfono — entra en conflicto con el alcance de lo que ShinyHunters afirma tener en su poder. La magnitud real de la exposición sigue sin verificarse de forma independiente.

La creciente campaña SaaS de ShinyHunters

Esta filtración es la más reciente de una campaña prolongada de ShinyHunters que sigue un patrón consistente: ataques de vishing contra empleados o contratistas de BPO (externalización de procesos de negocio) para robar credenciales SSO, seguidos de la exfiltración de datos desde aplicaciones SaaS conectadas — en particular Salesforce — y luego extorsión. El grupo ha ejecutado el mismo manual contra múltiples objetivos en los últimos meses.

Instructure, la empresa detrás del sistema de gestión de aprendizaje Canvas utilizado por millones de estudiantes y profesores en universidades y escuelas, fue atacada con el mismo método. Según se informa, ShinyHunters llegó a un "acuerdo" no revelado con Instructure tras el robo de decenas de millones de registros de estudiantes — un lenguaje que normalmente implica el pago de un rescate. La cadena 7-Eleven también reveló esta semana una filtración atribuida a ShinyHunters, con 183.000 registros de clientes confirmados como robados.

El patrón resalta un cambio en la forma en que se ejecutan los grandes robos de datos. En lugar de explotar vulnerabilidades de servidores sin parchear, ShinyHunters está comprometiendo sistemáticamente a operadores humanos — las credenciales que conectan a los empleados con plataformas en la nube — y luego recolectando datos directamente de esas plataformas. Sin necesidad de zero-day; la ingeniería social combinada con credenciales SSO válidas proporciona el mismo nivel de acceso que una vulneración directa del servidor, con menos riesgo técnico y menos artefactos forenses.

Qué deben hacer los clientes de Spectrum

Charter aún no ha dicho si notificará directamente a los clientes afectados. Dados los tipos de datos que ShinyHunters afirma tener — direcciones de domicilio, números de teléfono, información del plan de servicio — los clientes deben estar alerta ante intentos de phishing dirigidos y ataques de SIM swapping que utilicen esta información. Cualquier persona que reciba un contacto inesperado afirmando ser de Spectrum, o note cambios inusuales en su servicio telefónico, debe contactar a Charter directamente a través de los canales oficiales en lugar de responder a comunicaciones entrantes.

El vector de ataque a Salesforce también merece atención por parte de los equipos de seguridad empresarial. Las organizaciones que utilizan Salesforce como repositorio de datos de clientes deberían revisar qué cuentas de empleados tienen permisos de exportación en Salesforce, si esas cuentas están protegidas por MFA resistente al phishing (claves físicas o passkeys en lugar de SMS o TOTP), y si sus instancias de Salesforce cuentan con monitoreo y alertas de actividad de exportación.

data-breachsecuritytelecomshinyhunterssalesforceCharter

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: