Le groupe de rançongiciel ShinyHunters a dérobé les informations personnelles de 4,9 millions de comptes après avoir piraté le géant américain des télécoms, Charter Communications, au début du mois d’avril. Ces informations sont fournies par le service de notification de fuites de données Have I Been Pwned.
L’entreprise Charter emploie plus de 92 000 personnes. Elle propose des services internet, mobiles, vidéo et téléphoniques à plus de 32 millions de clients et 57 millions de foyers dans 41 États américains via sa marque Spectrum.
La société a confirmé la violation cette semaine. Elle a précisé que les pirates n’avaient pas volé de données personnelles sensibles sur les clients, et qu’elle avait alerté les autorités.
« Aucune information personnelle sensible ou donnée client réseau propriétaire n’a été exfiltrée par le groupe malveillant suite à cette activité récente », a déclaré Charter à BleepingComputer.
Charter n’a pas attribué l’attaque et n’a pas donné plus de détails. Cependant, le groupe d’extorsion ShinyHunters a revendiqué la responsabilité. Il a expliqué à BleepingComputer avoir pénétré les systèmes de la société le 1er avril grâce à une attaque de vishing qui a compromis le compte Microsoft Entra d’un employé.
Les pirates affirment avoir utilisé cet accès pour voler 42 millions d’enregistrements depuis l’instance Salesforce de l’entreprise. Ces données comprenaient les noms, adresses email, adresses physiques, numéros de téléphone, types de téléphone, informations sur les forfaits, données des tickets de support, et certaines données réseau client.
L’entreprise a refusé de payer la rançon exigée par ShinyHunters pour que les données volées soient rendues et détruites. En réponse, le groupe cybercriminel a divulgué les documents dérobés depuis l’instance Salesforce de Charter sur son site de fuites du dark web.
BleepingComputer a de nouveau contacté Charter au sujet des allégations du groupe d’extorsion selon lesquelles ils avaient aussi volé des données réseau client supplémentaires. L’entreprise a renvoyé à sa déclaration initiale.
Charter a refusé de donner plus de précisions, notamment sur la question de savoir si des données réseau client avaient aussi été exfiltrées. De son côté, Have I Been Pwned a analysé les données divulguées et a confirmé que l’incident touchait 4,9 millions de comptes. Les noms, adresses email, postes occupés, numéros de téléphone et adresses physiques de ces comptes ont été volés.
« Le groupe a publié les données plus tard, ce qui a exposé 4,9 millions d’adresses email uniques ainsi que des noms, des numéros de téléphone et des adresses physiques », a déclaré Have I Been Pwned. « Un sous-ensemble d’environ 85 000 enregistrements provenant d’un annuaire interne des employés comprenait aussi les postes occupés. »
Au cours de l’année écoulée, ShinyHunters a ciblé des clients de Salesforce. Ils ont piraté des centaines d’entreprises dans le monde et ont revendiqué le vol de milliards d’enregistrements lors d’attaques sur Salesforce Aura et une campagne sur Salesloft Drift.
Le FBI a récemment conseillé aux victimes de ShinyHunters de ne pas céder aux demandes de rançon. L’agence avait déjà averti que payer ne garantissait pas que les pirates ne tenteraient pas de vendre les données volées à d’autres cybercriminels ou de les extorquer à nouveau.
Les systèmes de Charter Communications avaient aussi été compromis lors d’une vague de violations par un groupe soutenu par l’État chinois, Salt Typhoon. Ce groupe a aussi affecté AT&T, Verizon, Consolidated Communications, Windstream et Lumen, ainsi que des opérateurs télécoms dans des dizaines d’autres pays.