Charter Communications confirma violação de dados após ShinyHunters alegar 40 milhões de registros de clientes Spectrum

Charter Communications — a operadora de cabo e banda larga dos EUA por trás da marca Spectrum — confirmou na terça-feira uma violação de dados depois que o grupo de extorsão ShinyHunters afirmou ter roubado 40 milhões de registros de clientes e ameaçou publicá-los a menos que recebesse pagamento. A Charter contestou a gravidade em uma breve declaração, mas reconheceu o incidente e disse que alertou as autoridades.

De acordo com o BleepingComputer, a violação ocorreu no início de abril, quando o ShinyHunters usou um ataque de phishing por voz (vishing) para comprometer as credenciais de login único (SSO) de um funcionário da Charter no Microsoft Entra (Azure AD). Com essas credenciais, os invasores acessaram a plataforma de dados de clientes Salesforce da Charter e exportaram registros de contas residenciais e comerciais.

O Que Foi Roubado

O ShinyHunters afirma que o conjunto de dados roubado inclui nomes de clientes, endereços de e-mail, endereços físicos, números de telefone, detalhes do plano de serviço e conteúdo de tickets de suporte do ambiente Salesforce da Charter. O grupo estima o total em 40 milhões de registros, o que representaria uma parcela significativa dos aproximadamente 32 milhões de assinantes de banda larga da Charter.

A declaração da Charter foi sucinta: "Estamos cientes da situação, seguindo nossos protocolos de segurança e estamos em processo de alertar as autoridades competentes." A empresa acrescentou que "nenhuma informação pessoal sensível ou informação proprietária de rede do cliente foi exfiltrada pelo ator da ameaça." Essa caracterização — que parece se apoiar em uma definição restrita de "PI sensível" que pode não incluir nomes, endereços e números de telefone — entra em conflito com o escopo do que o ShinyHunters afirma ter em mãos. A extensão real da exposição ainda não foi verificada de forma independente.

Campanha SaaS Crescente do ShinyHunters

Esta violação é a mais recente de uma campanha prolongada do ShinyHunters que segue um padrão consistente: ataques de vishing contra funcionários ou contratados de BPO (terceirização de processos de negócios) para roubar credenciais SSO, seguidos de exfiltração de dados de aplicativos SaaS conectados — Salesforce em particular — e depois extorsão. O grupo executou o mesmo manual contra vários alvos nos últimos meses.

A Instructure, empresa por trás do sistema de gerenciamento de aprendizado Canvas usado por milhões de estudantes e professores em universidades e escolas, foi atingida usando o mesmo método. O ShinyHunters supostamente chegou a um "acordo" não divulgado com a Instructure após o roubo de dezenas de milhões de registros de estudantes — linguagem que normalmente implica pagamento de resgate. A rede 7-Eleven também divulgou uma violação atribuída ao ShinyHunters esta semana, com 183 mil registros de clientes confirmados como roubados.

O padrão destaca uma mudança na forma como grandes roubos de dados estão sendo executados. Em vez de explorar vulnerabilidades de servidores não corrigidas, o ShinyHunters está comprometendo sistematicamente operadores humanos — as credenciais que conectam funcionários a plataformas em nuvem — e depois colhendo dados dessas plataformas diretamente. Nenhum zero-day necessário; engenharia social mais credenciais SSO válidas fornecem o mesmo nível de acesso que um comprometimento direto do servidor, com menos risco técnico e menos artefatos forenses.

O Que os Clientes Spectrum Devem Fazer

A Charter ainda não disse se notificará diretamente os clientes afetados. Dados os tipos de dados que o ShinyHunters afirma ter — endereços residenciais, números de telefone, informações do plano de serviço — os clientes devem ficar atentos a tentativas de phishing direcionadas e ataques de SIM-swap usando essas informações. Qualquer pessoa que receber contato inesperado alegando ser da Spectrum, ou notar mudanças incomuns em seu serviço telefônico, deve entrar em contato diretamente com a Charter pelos canais oficiais, em vez de responder a comunicações recebidas.

O vetor de violação do Salesforce também merece atenção das equipes de segurança empresarial. Organizações que usam Salesforce como repositório de dados de clientes devem revisar quais contas de funcionários têm permissões de exportação no Salesforce, se essas contas são protegidas por MFA resistente a phishing (chaves de hardware ou passkeys em vez de SMS ou TOTP) e se suas instâncias do Salesforce possuem monitoramento e alertas de atividade de exportação implementados.