Charter Communications تأیید کرد: دیتای ۴۰ میلیون مشتری Spectrum توسط ShinyHunters به سرقت رفته است

Charter Communications، اپراتور کابل و پهن‌باند آمریکایی پشت برند Spectrum، روز سه‌شنبه یک شکاف اطلاعاتی را تأیید کرد. این اتفاق پس از آن افتاد که گروه باج‌افزاری ShinyHunters ادعا کرد ۴۰ میلیون رکورد مشتری را دزدیده و تهدید کرد در صورت عدم پرداخت، آن‌ها را منتشر می‌کند. Charter در بیانیه‌ای کوتاه شدت ادعا را زیر سوال برد، اما وقوع حادثه را پذیرفت و گفت به مقامات اطلاع داده است.

به گفته BleepingComputer، این نفوذ در اوایل فروردین رخ داد. ShinyHunters با یک حمله vishing (فیشینگ صوتی) اعتبارنامه ورود واحد (SSO) مربوط به Microsoft Entra (Azure AD) یکی از کارمندان Charter را به دست آورد. سپس با آن اعتبارنامه‌ها وارد سکوی مدیریت مشتریان Salesforce شرکت شد و رکوردهای حساب‌های مسکونی و تجاری را خروجی گرفت.

چه اطلاعاتی به سرقت رفت؟

ShinyHunters ادعا می‌کند مجموعه داده‌های دزدیده شده شامل نام مشتریان، ایمیل، آدرس، شماره تلفن، جزئیات طرح سرویس و محتوای تیکت‌های پشتیبانی از محیط Salesforce Charter است. این گروه تعداد رکوردها را ۴۰ میلیون اعلام کرده که بخش قابل توجهی از حدود ۳۲ میلیون مشترک پهن‌باند Charter را تشکیل می‌دهد.

بیانیه Charter مختصر بود: «ما از وضعیت مطلع هستیم، پروتکل‌های امنیتی خود را دنبال می‌کنیم و به مقامات مربوطه اطلاع‌رسانی می‌کنیم.» این شرکت اضافه کرد: «هیچ اطلاعات شخصی حساس یا اطلاعات اختصاصی شبکه مشتریان توسط مهاجم خارج نشده است.» این توصیف که به نظر می‌رسد بر تعریف محدودی از «اطلاعات شخصی حساس» تکیه دارد – تعریفی که ممکن است نام، آدرس و شماره تلفن را شامل نشود – با ادعای ShinyHunters درباره حجم داده‌های به‌دست‌آمده تناقض دارد. میزان واقعی افشای اطلاعات هنوز به‌طور مستقل تأیید نشده است.

کارزار رو به رشد ShinyHunters در SaaS

این شکاف آخرین نمونه از کارزار گسترده ShinyHunters است که الگوی ثابتی دارد: حملات vishing علیه کارمندان یا پیمانکاران BPO (برون‌سپاری فرآیندهای تجاری) برای سرقت اعتبارنامه ورود واحد (SSO)، سپس خروجی گرفتن داده از برنامه‌های SaaS متصل (به‌ویژه Salesforce) و در نهایت باج‌خواهی. این گروه در ماه‌های اخیر همین تاکتیک را علیه چندین هدف اجرا کرده است.

Instructure، شرکت پشت سیستم مدیریت یادگیری Canvas که توسط میلیون‌ها دانشجو و استاد در دانشگاه‌ها و مدارس استفاده می‌شود، با همین روش هدف قرار گرفت. ShinyHunters پس از سرقت ده‌ها میلیون رکورد دانشجویی، ظاهراً به یک «توافق» محرمانه با Instructure دست یافت – زبانی که معمولاً به معنای پرداخت باج است. زنجیره 7-Eleven نیز این هفته یک شکاف اطلاعاتی را که به ShinyHunters نسبت داده شد، اعلام کرد که در آن ۱۸۳ هزار رکورد مشتری تأیید شده است.

این الگو نشان‌دهنده تغییر در نحوه اجرای سرقت‌های بزرگ داده است. به جای بهره‌برداری از آسیب‌پذیری‌های وصله‌نشده سرورها، ShinyHunters به‌طور سیستماتیک اپراتورهای انسانی را هدف می‌گیرد – اعتبارنامه‌هایی که کارمندان را به سکوهای ابری متصل می‌کند – و سپس مستقیماً از آن سکوها داده برداشت می‌کند. هیچ نیاز به zero-day نیست؛ مهندسی اجتماعی به همراه اعتبارنامه‌های SSO معتبر، همان سطح دسترسی را فراهم می‌کند که نفوذ مستقیم به سرور، اما با ریسک فنی کمتر و آثار جرم‌شناسی کم‌تر.

مشتریان Spectrum چه باید بکنند؟

Charter هنوز نگفته آیا مستقیماً مشتریان آسیب‌دیده را مطلع خواهد کرد یا نه. با توجه به نوع داده‌هایی که ShinyHunters ادعا می‌کند در اختیار دارد – آدرس خانه، شماره تلفن، اطلاعات طرح سرویس – مشتریان باید نسبت به حملات فیشینگ هدفمند و حملات SIM-swap با استفاده از این اطلاعات هوشیار باشند. هرکس تماس غیرمنتظره‌ای دریافت کرد که ادعا می‌کند از طرف Spectrum است یا متوجه تغییرات غیرعادی در سرویس تلفن خود شد، باید مستقیماً از طریق کانال‌های رسمی با Charter تماس بگیرند و به پیام‌های دریافتی پاسخ ندهند.

شاخص نفوذ Salesforce همچنین برای تیم‌های امنیتی سازمان‌ها قابل توجه است. سازمان‌هایی که از Salesforce به عنوان مخزن داده مشتری استفاده می‌کنند، باید بررسی کنند کدام حساب‌های کارمندان مجوز خروجی‌گرفتن از Salesforce دارند، آیا آن حساب‌ها با MFA مقاوم در برابر فیشینگ (کلیدهای سخت‌افزاری یا passkey به جای SMS یا TOTP) محافظت می‌شوند، و آیا نمونه‌های Salesforce آن‌ها دارای نظارت و هشدار بر فعالیت خروجی داده هستند.