Laut Have I Been Pwned drang die Gruppe Anfang April in die Systeme von Charter ein. ShinyHunters erklärte gegenüber BleepingComputer, der Einbruch sei am 1. April über einen telefonischen Phishing-Angriff (Vishing) erfolgt, bei dem das Microsoft-Entra-Konto eines Mitarbeiters kompromittiert wurde.
Mit diesem Zugang will die Gruppe 42 Millionen Datensätze aus der Salesforce-Umgebung des Unternehmens entwendet haben. Dazu zählten den Angreifern zufolge Namen von Privat- und Geschäftskunden, E-Mail-Adressen, Anschriften, Telefonnummern und Telefontypen, Tarifinformationen, Daten aus Support-Tickets sowie teilweise sogenannte CPNI-Daten (Customer Proprietary Network Information).
Charter widersprach dem in einer Stellungnahme: “Im Zuge der jüngsten Aktivität wurden durch den Bedrohungsakteur keine sensiblen personenbezogenen Daten und keine Customer-Proprietary-Network-Information-Daten exfiltriert”, teilte das Unternehmen BleepingComputer mit. Auf erneute Nachfrage zu den behaupteten CPNI-Daten verwies Charter lediglich auf diese ursprüngliche Erklärung. Eine Zuordnung des Angriffs nahm der Konzern nicht vor und nannte keine weiteren Details.
Nachdem Charter sich geweigert hatte, das von ShinyHunters geforderte Lösegeld für die Rückgabe und Löschung der Daten zu zahlen, veröffentlichte die Gruppe die gestohlenen Dokumente auf ihrer Leak-Seite im Darknet. Have I Been Pwned wertete die geleakten Daten aus und bestätigte 4,9 Millionen betroffene Konten mit Namen, E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Anschriften.
“Die Gruppe veröffentlichte die Daten später, wodurch 4,9 Millionen eindeutige E-Mail-Adressen samt Namen, Telefonnummern und Anschriften offengelegt wurden”, erklärte Have I Been Pwned. Eine Teilmenge von rund 85.000 Datensätzen stamme aus einem internen Mitarbeiterverzeichnis und habe zusätzlich Berufsbezeichnungen enthalten.
ShinyHunters hat im vergangenen Jahr verstärkt Salesforce-Kunden ins Visier genommen, dabei nach eigenen Angaben weltweit Hunderte Unternehmen kompromittiert und den Diebstahl von Milliarden Datensätzen in Salesforce-Aura-Angriffen und einer Salesloft-Drift-Kampagne reklamiert. Das FBI riet Opfern der Gruppe zuletzt davon ab, auf Lösegeldforderungen einzugehen, und warnte, eine Zahlung biete keine Gewähr, dass die Daten nicht doch an andere Kriminelle verkauft werden oder es zu erneuter Erpressung kommt.
Charters Systeme waren zuvor bereits von einer Angriffswelle der chinesischen staatlich gestützten Gruppe Salt Typhoon betroffen, die auch AT&T, Verizon, Consolidated Communications, Windstream und Lumen sowie Telekommunikationsunternehmen in Dutzenden weiteren Ländern traf.
