Charter Communications подтвердила утечку данных после атаки группировки ShinyHunters

Charter Communications официально подтвердила факт инцидента безопасности после того, как группировка ShinyHunters опубликовала данные компании на своем ресурсе. Киберпреступники утверждают, что в ходе атаки, датированной 1 апреля 2026 года, им удалось похитить сведения о 40 миллионах абонентов. Провайдер, обслуживающий более 32 миллионов клиентов в США, на текущий момент взаимодействует с надзорными органами и проводит процедуру уведомления затронутых лиц.

Механика атаки и векторы доступа

Согласно заявлениям злоумышленников, отправной точкой стал целевой вишинг (голосовой фишинг). В ходе операции по социальной инженерии хакеры убедили сотрудника Charter Communications предоставить учетные данные, что позволило им скомпрометировать аккаунт в Microsoft Entra. Используя полученный доступ, участники группы ShinyHunters проникли в корпоративный экземпляр Salesforce. Проще говоря, через связку с облачной инфраструктурой Salesforce атакующие смогли выгрузить массивы данных, включающие имена клиентов, электронные адреса, физические адреса, телефонные номера, информацию о тарифных планах, а также историю тикетов службы поддержки.

Расхождение в оценках масштаба утечки

В официальных комментариях для СМИ представители Charter Communications сообщили об осведомленности о ситуации и соблюдении установленных протоколов реагирования на киберинциденты. При этом компания настаивает на том, что инцидент не привел к компрометации критически важной информации, классифицируемой как персональные данные (PI) или защищенная сетевая информация клиентов (CPNI). Эти заверения прямо противоречат заявлениям ShinyHunters, которые настаивают на владении базой записей объемом в 40 миллионов строк, относящихся как к частным лицам, так и к бизнес-пользователям.

Методы работы ShinyHunters

На сегодняшний день ShinyHunters сохраняют позицию одной из наиболее активных группировок в киберпространстве. Типичный сценарий их атак строится на методах глубокой социальной инженерии: злоумышленники связываются с представителями целевой организации по телефону, имитируя техническую поддержку или ИТ-специалистов. На практике это значит, что сотрудников вынуждают самостоятельно запускать вредоносное ПО или активировать решения для удаленного управления рабочим столом (RMM), предоставляя атакующим полные права доступа к корпоративной сети. В данном случае стратегия ShinyHunters предполагала не только кражу информации, но и выдвижение требований о выкупе под угрозой публичной публикации украденных массивов данных.