Le géant américain des télécommunications, Charter Communications, a confirmé qu’il a subi une fuite de données. Le groupe d’extorsion ShinyHunters menace de publier ces informations si une rançon n’est pas versée.
Charter Communications est l’un des principaux fournisseurs d’accès à internet aux États-Unis. Sa marque Spectrum dessert des dizaines de millions de clients résidentiels et professionnels.
Dans une déclaration diffusée ce weekend, l’entreprise a annoncé qu’elle alertait les autorités. Elle affirme également que aucune donnée sensible de ses clients n’a été dérobée.
« Nous avons connaissance de la situation. Nous suivons nos protocoles de sécurité et nous sommes en train de signaler l’incident aux autorités compétentes », a déclaré Charter.
« Le cybercriminel n’a pas exfiltré de données sensibles personnelles ou d’informations propriétaires sur le réseau client suite à cette activité récente. »
ShinyHunters extorque Charter
Cette déclaration intervient après que Charter a été ajouté au site de publication de données de ShinyHunters. Les pirates affirmaient avoir volé quarante millions d’enregistrements. Ces données contiennent des informations personnelles de clients résidentiels et d’entreprises.
ShinyHunters a déclaré avoir infiltré Charter le 1 avril. Ils ont utilisé une attaque de voice phishing pour compromettre le compte Microsoft Entra d’un employé.
Les cybercriminels ont exploité cet accès pour exporter des millions d’enregistrements clients, provenant de l’instance Salesforce de l’entreprise.
Selon le groupe, les données volées contiennent les noms des clients, leurs adresses email, leurs adresses physiques, leurs numéros de téléphone, le type de téléphone, les informations sur le contrat et certaines données propriétaires sur le réseau. Ils affirment aussi avoir dérobé des données relatives aux tickets d’assistance.
BleepingComputer a interrogé Charter à nouveau sur les affirmations du groupe, qui incluent la capture de données propriétaires. L’entreprise s’est référée à sa première déclaration.
Depuis l’année dernière, ce groupe d’extorsion conduit des campagnes massives d’ingénierie sociale. Elles ciblent les comptes Microsoft Entra, Okta et Google SSO des employés et des agents de centres de services.
Après avoir obtenu l’accès à un compte SSO d’entreprise, les cybercriminels extraient des données des applications SaaS connectées, comme Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, et de nombreuses autres.
Ces données sont ensuite utilisées pour extorquer l’entreprise. Les pirates menacent de les publier si une rançon n’est pas payée.
Salesforce est un objectif fréquent pour ce gang d’extorsion. Les pirates ont infiltré plusieurs entreprises d’intégration pour voler des tokens OAuth. Ces tokens peuvent ensuite servir pour accéder aux instances Salesforce.
Plus récemment, ShinyHunters a mené plusieurs attaques contre la firme de technologie éducative Instructure. Cela a provoqué des interruptions du service Canvas et le vol de données de dizaines de millions d’étudiants.
Instructure a déclaré qu’elle avait finalement trouvé un « accord » avec le groupe d’extorsion. Cela signifie probablement qu’elle a versé une rançon pour empêcher la publication publique des données volées.