HackerangriffeDatenschutzCyberkriminalität

Charter Communications bestätigt Datenpanne nach Erpressungsdrohung durch ShinyHunters

Von CyberDeutsch Redaktion
Charter Communications bestätigt Datenpanne nach Erpressungsdrohung durch ShinyHunters
Zusammenfassung

Der amerikanische Telekommunikationsriese Charter Communications hat einen Datenmissbrauch bestätigt, nachdem die Hacker-Gruppe ShinyHunters mit der Veröffentlichung gestohlener Daten gedroht hat, sollte kein Lösegeld gezahlt werden. Der Vorfall zeigt einmal mehr die Gefährlichkeit moderner Social-Engineering-Attacken: ShinyHunters gelang es durch eine Voice-Phishing-Kampagne, ein Microsoft-Entra-Konto eines Mitarbeiters zu kompromittieren und dadurch auf Millionen von Kundendatensätzen zuzugreifen. Das Unternehmen, das über seine Spektrum-Marke Millionen amerikanischer Privat- und Geschäftskunden mit Breitband versorgt, betont zwar, dass keine sensitiven persönlichen Informationen gestohlen worden seien – die Hacker widersprechen dieser Darstellung und behaupten, Kundennamen, Adressen, Telefonnummern und Planungsdaten von 40 Millionen Nutzern erbeutet zu haben. Für deutsche Nutzer und Unternehmen ist dieser Fall alarmierend, da ShinyHunters global operiert und bevorzugt über kompromittierte Cloud-Zugangskonten agiert. Die Attacken gegen international verbreitete SaaS-Plattformen wie Salesforce zeigen, dass auch deutsche Firmen mit entsprechender Cloud-Infrastruktur ähnliche Risiken tragen.

Die Hacktergruppe ShinyHunters gibt an, Charter Communications am 1. April durch einen Voice-Phishing-Angriff (Vishing) compromittiert zu haben. Die Angreifer zielten dabei auf ein Microsoft-Entra-Konto eines Mitarbeiters ab und verschafften sich anschließend Zugang zu Millionen von Kunden- und Geschäftsdaten aus einer Salesforce-Instanz des Unternehmens.

Nach Angaben der Hackter enthalten die gestohlenen Datensätze Kundennamen, E-Mail-Adressen, Wohnadressen, Telefonnummern, Geräteinformationen, Tarifdetails und teilweise auch Kundenproprietary-Netzwerk-Informationen (CPNI). Zusätzlich wurden Daten aus dem Kundensupport-Ticketing-System entwendet.

Charter Communications hingegen behauptet in seiner offiziellen Stellungnahme, dass keine sensiblen persönlichen Daten oder CPNI-Daten durch die Angreifer exfiltriert wurden. Das Unternehmen teilte mit, die zuständigen Behörden zu benachrichtigen und seine Sicherheitsprotokolle zu befolgen.

Diese widersprüchlichen Aussagen werfen Fragen zur tatsächlichen Datenlage auf. ShinyHunters ist bekannt dafür, systematische Erpressungskampagnen gegen Großunternehmen durchzuführen. Seit dem letzten Jahr zielt die Gruppe auf Microsoft-Entra-, Okta- und Google-SSO-Konten von Mitarbeitern und Business-Process-Outsourcing-Agenten ab.

Nach erfolgreichem Zugriff auf Corporate-SSO-Konten entwenden die Angreifer Daten aus verbundenen SaaS-Anwendungen wie Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk und Dropbox. Diese Daten werden dann zur Erpressung verwendet — ein klassisches Extortions-Ransomware-Modell ohne Verschlüsselung.

Salesforce-Instanzen sind besonders lukrative Ziele für ShinyHunters. Die Gruppe hat OAuth-Token von verschiedenen Integrationsunternehmen gestohlen, um Zugang zu Salesforce-Systemen zu erlangen. In jüngster Zeit führte die Gruppe mehrere Angriffe gegen das Bildungstechnologie-Unternehmen Instructure durch, was zu Ausfällen von Canvas und zum Diebstahl von Daten von Millionen von Schülern führte. Instructure willigte später in eine Vereinbarung ein — ein diplomatischer Weg zu sagen, dass das Unternehmen vermutlich Lösegeld zahlte, um eine öffentliche Datenlecks-Veröffentlichung zu verhindern.

Dies verdeutlicht ein wachsendes Problem: Soziale Ingenieursmethoden und Phishing-Angriffe auf Authentifizierungssysteme sind für große Organisationen schwer zu verteidigen, besonders wenn die Infrastruktur aus Cloud-basierten Services mit vielen Integrationen besteht. Deutsche Unternehmen sollten ihre SSO-Konten und Cloud-Konfigurationen überprüfen.

Ähnliche Artikel