ShinyHunters invadiu a Charter Communications por meio de uma chamada de vishing — 4,9 milhões de registros de clientes expostos

A Charter Communications, empresa controladora dos serviços de internet, TV a cabo e televisão da Spectrum, confirmou uma violação de dados significativa que afeta milhões de seus clientes. A invasão, iniciada em 1º de abril de 2026, só foi divulgada após mais de sete semanas — um atraso que levanta sérias questões sobre as obrigações da empresa com seus clientes e órgãos reguladores.

Como Aconteceu

A intrusão não começou com uma exploração sofisticada de dia zero ou com um malware complexo, mas com uma ligação telefônica. Em 1º de abril de 2026, atores maliciosos do grupo ShinyHunters ligaram para um funcionário da Charter Communications se passando por uma parte confiável — uma técnica clássica de vishing (phishing por voz). A ligação foi convincente o suficiente para enganar o funcionário e fazê-lo entregar suas credenciais do Microsoft Entra (antigo Azure Active Directory).

De posse dessas credenciais, os invasores obtiveram acesso legítimo à infraestrutura de identidade da Charter. Usaram esse acesso para migrar para o ambiente Salesforce CRM da Charter, onde a empresa gerencia relacionamentos com clientes, registros de serviço e interações de suporte. Uma vez dentro do Salesforce, exportaram um conjunto substancial de registros de clientes. A cadeia de ataque — ligação de vishing, credenciais Entra roubadas, exfiltração do Salesforce — está se tornando um manual documentado que vários grupos maliciosos estão executando atualmente contra grandes empresas.

O Que Foi Roubado e Quem Foi Afetado

De acordo com a divulgação da Charter e análises complementares, os dados roubados incluem nomes de clientes, endereços de e-mail, endereços físicos de correspondência, números de telefone, detalhes de planos de serviço e registros de tickets de suporte ao cliente. Essa combinação de dados é particularmente perigosa porque possibilita ataques secundários altamente direcionados: e-mails de spear phishing que fazem referência a detalhes reais da conta, golpes telefônicos que usam informações precisas do serviço para se passar pelo suporte da Charter e ataques de engenharia social contra outras contas usando credenciais roubadas.

A escala da violação é contestada. O ShinyHunters alegou ter roubado entre 40 e 42 milhões de registros de clientes. No entanto, a análise de Troy Hunt via Have I Been Pwned — que deduplica registros entre conjuntos de dados — identificou aproximadamente 4,9 milhões de indivíduos únicos nos dados publicados. Outras análises dos arquivos vazados relataram números que variam de 13 milhões a 42 milhões de linhas, dependendo da metodologia e de quais conjuntos de dados são contabilizados.

A Charter Communications contesta as alegações de que Informações de Rede Proprietárias do Cliente (CPNI) foram roubadas. CPNI é uma categoria de dados de telecomunicações protegida federalmente que inclui registros de chamadas, padrões de uso e atividade de rede. A Charter mantém que apenas dados dentro de suas "ferramentas de vendas" — ou seja, Salesforce — foram acessados e que os sistemas centrais de rede não foram comprometidos. O ShinyHunters e pesquisadores independentes contestaram essa caracterização. A questão da CPNI é importante: se a CPNI foi levada, a Charter enfrenta obrigações regulatórias mais rigorosas sob as regras da FCC.

A Cronologia da Divulgação

A Charter tomou conhecimento da violação no início de abril de 2026. A empresa não divulgou publicamente o incidente até o final de maio de 2026 — mais de sete semanas após o comprometimento inicial. Durante esse período, os clientes cujos dados foram roubados não tinham como saber que suas informações estavam nas mãos de um grupo de extorsão por ransomware.

As empresas de telecomunicações dos EUA estão sujeitas às regras de notificação de violação de dados da FCC, que exigem notificação à Comissão e aos clientes afetados "sem atraso injustificado" — e, em algumas circunstâncias, dentro de 30 dias. As leis estaduais acrescentam camadas adicionais: a CCPA da Califórnia, por exemplo, exige notificação "no menor tempo possível". Se o prazo de mais de sete semanas da Charter constitui conformidade ou violação é uma questão que os reguladores podem estar examinando agora.

O momento da divulgação pública coincide com o início da publicação dos dados roubados pelo ShinyHunters em seu site de vazamento na dark web — sugerindo que a mão da Charter pode ter sido forçada pela publicação iminente ou real dos registros dos clientes, em vez de uma decisão proativa de notificá-los.

Histórico do ShinyHunters

O ShinyHunters não é um ator malicioso novo ou desconhecido. O grupo tem sido uma das operações de ransomware e extorsão de dados mais prolíficas dos últimos anos. Somente em 2024, foram responsáveis pela violação do Ticketmaster — amplamente relatada como uma das maiores da história, afetando aproximadamente 560 milhões de registros. Nesse mesmo ano, exploraram credenciais de clientes da Snowflake em uma campanha que atingiu dezenas de grandes corporações, incluindo a AT&T, que sofreu uma violação massiva de registros de chamadas afetando centenas de milhões de clientes.

O modelo operacional do grupo é consistente: identificar um alvo de alto valor, obter credenciais por engenharia social ou reutilização de senhas, acessar plataformas de dados hospedadas na nuvem (Salesforce, Snowflake e ferramentas SaaS similares são alvos recorrentes), exfiltrar dados, exigir resgate e publicar quando o alvo se recusa a pagar. A Charter aparentemente se recusou a pagar, e o ShinyHunters cumpriu a ameaça de publicação.

O Problema do Vishing

O que torna a violação da Charter particularmente instrutiva é seu ponto de entrada. O ataque não começou derrotando nenhum controle técnico de segurança. Começou conversando com um ser humano ao telefone. O vishing — phishing por voz — tornou-se uma técnica central para grupos maliciosos importantes que atuam contra grandes empresas. A violação do MGM Resorts em 2023, amplamente atribuída a atores ligados ao coletivo Scattered Spider, começou com uma ligação para o help desk do MGM. O padrão se repete.

As defesas técnicas — firewalls, detecção de endpoint, autenticação multifator, monitoramento SIEM — não oferecem proteção contra uma ligação telefônica bem elaborada que explora a confiança do funcionário, o viés de autoridade e o desejo de ser útil. A solução exige um tipo diferente de investimento: protocolos rigorosos de verificação para redefinições de credenciais e provisionamento de acesso, treinamento regular de funcionários com simulações realistas de vishing e requisitos estritos de confirmação fora de banda para qualquer acesso sensível concedido por telefone.

Até que as organizações tratem a superfície de ataque humana com o mesmo rigor que aplicam às vulnerabilidades técnicas, violações como a da Charter continuarão sendo a norma, e não a exceção.

O Que os Clientes da Charter Devem Fazer

Se você é ou foi cliente da Spectrum, há medidas práticas que deve tomar agora. Primeiro, verifique se seu endereço de e-mail aparece na violação visitando o Have I Been Pwned (haveibeenpwned.com). Se seus dados forem confirmados como expostos, fique especialmente vigilante quanto a e-mails de phishing que referenciem detalhes reais da sua conta Charter — os invasores agora têm as informações para tornar esses e-mails muito convincentes.

Como endereços físicos estavam supostamente entre os campos de dados roubados, os clientes também devem considerar colocar um congelamento de crédito nas três principais agências (Equifax, Experian, TransUnion) para evitar a abertura de contas fraudulentas usando seu endereço. Monitore sua conta Charter em busca de quaisquer alterações não autorizadas em planos de serviço ou informações de contato e desconfie de qualquer ligação recebida que alegue ser do suporte da Charter — os dados de tickets de suporte roubados dão aos invasores conhecimento do seu histórico real de serviço.

O Problema Maior

A violação em si — por mais séria que seja — pode não ser a questão mais significativa aqui. Milhões de registros de clientes roubados por um grupo de ransomware conhecido é um dia ruim para a Charter. Mas o intervalo de sete semanas entre a violação e a divulgação é um tipo diferente de falha: uma falha de responsabilidade corporativa para com os clientes que confiaram à Charter suas informações pessoais.

Durante essas sete semanas, os clientes da Charter estavam expostos a riscos de phishing, fraude e roubo de identidade dos quais não sabiam nada. Reguladores da FCC e procuradores-gerais estaduais provavelmente examinarão essa cronologia com atenção. A questão de saber se a divulgação da Charter atendeu aos requisitos legais — ou se foi desencadeada pelo início da publicação pelo ShinyHunters, em vez de qualquer decisão proativa de notificar — moldará como essa história termina para a situação legal e regulatória da empresa.

A violação está feita. Os dados estão lá fora. O que acontece a seguir depende de os reguladores decidirem se um silêncio de sete semanas diante de uma intrusão conhecida é aceitável — e se a resposta a essa pergunta terá consequências significativas.