Charter Communications admet une fuite de données : ShinyHunters aurait dérobé 40 millions d'enregistrements de clients Spectrum

Charter Communications – l’opérateur câble et haut débit américain derrière la marque Spectrum – a confirmé mardi une fuite de données après que le groupe d’extorsion ShinyHunters a affirmé avoir volé 40 millions d’enregistrements clients et menacé de les publier si aucune rançon n’était versée. Charter a minimisé la gravité dans un bref communiqué tout en reconnaissant l’incident et en affirmant avoir alerté les autorités.

La fuite aurait eu lieu début avril, lorsque ShinyHunters a utilisé une attaque de vishing (hameçonnage vocal) pour compromettre les identifiants SSO d'un employé de Charter sur Microsoft Entra (Azure AD), selon BleepingComputer. Grâce à ces identifiants, les attaquants ont accédé à la plateforme Salesforce de Charter, hébergeant les données clients, et ont exporté des enregistrements concernant à la fois les comptes résidentiels et professionnels.

Nature des données volées

ShinyHunters affirme que l'ensemble de données volé comprend les noms, adresses email, adresses physiques, numéros de téléphone, détails des forfaits et le contenu des tickets de support issus de l'environnement Salesforce de Charter. Le groupe avance un total de 40 millions d'enregistrements, ce qui représenterait une part significative des quelque 32 millions d'abonnés haut débit de Charter.

Le communiqué de Charter était laconique : « Nous avons connaissance de la situation, nous suivons nos protocoles de sécurité et sommes en train d'alerter les autorités compétentes. » La société a ajouté qu'« aucune information personnelle sensible ni donnée réseau propriétaire du client n'a été exfiltrée par l'acteur malveillant. » Cette caractérisation – qui semble reposer sur une définition étroite des « informations personnelles sensibles » n'incluant peut-être pas les noms, adresses et numéros de téléphone – entre en contradiction avec l'ampleur de ce que ShinyHunters prétend détenir. L'étendue réelle de l'exposition n'a pas encore été vérifiée de manière indépendante.

L'escalade des attaques SaaS de ShinyHunters

Cette fuite est la dernière d'une campagne prolongée de ShinyHunters qui suit un schéma récurrent : des attaques par vishing contre des employés ou des sous-traitants de BPO (business process outsourcer) pour dérober des identifiants SSO, suivies d'une exfiltration de données depuis des applications SaaS connectées – en particulier Salesforce – puis d'une extorsion. Le groupe a exécuté le même scénario contre plusieurs cibles ces derniers mois.

Instructure, la société derrière le système de gestion de l'apprentissage Canvas utilisé par des millions d'étudiants et d'enseignants dans les universités et écoles, a été touchée selon la même méthode. ShinyHunters serait parvenu à un « accord » non divulgué avec Instructure après le vol de dizaines de millions d'enregistrements d'étudiants – un langage qui sous-entend généralement le paiement d'une rançon. La chaîne 7-Eleven a également révélé une fuite attribuée à ShinyHunters cette semaine, avec 183 000 enregistrements clients confirmés volés.

Ce schéma met en lumière un changement dans la manière dont les vols massifs de données sont perpétrés. Plutôt que d'exploiter des vulnérabilités logicielles non corrigées, ShinyHunters compromet systématiquement les opérateurs humains – les identifiants qui connectent les employés aux plateformes cloud – puis récolte les données directement depuis ces plateformes. Aucune zero-day nécessaire : l'ingénierie sociale associée à des identifiants SSO valides offre le même niveau d'accès qu'une compromission directe de serveur, avec moins de risques techniques et moins d'artefacts forensiques.

Que doivent faire les clients Spectrum ?

Charter n'a pas encore indiqué s'il notifiera directement les clients concernés. Compte tenu du type de données que ShinyHunters prétend détenir – adresses physiques, numéros de téléphone, informations sur les forfaits – les clients doivent se montrer vigilants face aux tentatives de phishing ciblées et aux attaques par SIM-swap utilisant ces informations. Toute personne recevant un contact inattendu prétendant venir de Spectrum, ou constatant des changements inhabituels sur son service téléphonique, doit contacter Charter directement via les canaux officiels plutôt que de répondre aux communications entrantes.

Le vecteur de fuite via Salesforce mérite également l'attention des équipes de sécurité en entreprise. Les organisations qui utilisent Salesforce comme référentiel de données clients devraient vérifier quels comptes employés disposent d'autorisations d'exportation Salesforce, si ces comptes sont protégés par une MFA résistante au phishing (clés matérielles ou passkeys plutôt que SMS ou TOTP), et si leurs instances Salesforce disposent d'une surveillance et d'alertes sur les activités d'exportation.