SecurityWeek (Eduard Kovacs, 2 mars 2026) rapporte que Madison Square Garden (MSG), la célèbre arène de New York, a confirmé avoir été touché par une fuite de données dans le cadre de la campagne de piratage visant Oracle E‑Business Suite (EBS) en 2025.
Dans cette campagne, le groupe de ransomware et d’extorsion Cl0p a exploité des vulnérabilités zero-day pour accéder aux données de plus de 100 organisations clientes d’Oracle EBS. 🧩
MSG avait été nommé comme victime par les pirates en novembre 2025. Peu après, les cybercriminels ont divulgué plus de 210 Go d’archives prétendument volées, ce qui laissait entendre un refus de payer une rançon. 📦🔓
L’entreprise n’avait pas commenté à l’époque, mais confirme désormais l’incident et a commencé à notifier les personnes dont les informations personnelles ont été compromises. Selon MSG Entertainment, l’instance Oracle EBS était hébergée et gérée par un tiers, dont l’enquête indique que le vol de données a eu lieu en août 2025. 🏷️
Impact déclaré : des informations personnelles ont été exposées, dont noms et numéros de Sécurité sociale (SSN). Le nombre total de personnes affectées reste indéterminé, mais MSG a indiqué au procureur général du Maine que 11 résidents de l’État étaient concernés. 🚨
TTPs observés:
- Exploitation de vulnérabilités zero-day dans Oracle E‑Business Suite
- Campagne de ransomware/extorsion par Cl0p ciblant des clients Oracle EBS
- Exfiltration de données via une instance EBS hébergée par un prestataire tiers (août 2025)
- Divulgation publique des données volées après la désignation de la victime
IOCs: non communiqués dans l’article.
Type d’article: article de presse spécialisé visant à informer sur la confirmation par MSG d’une fuite de données liée à la campagne Cl0p exploitant des zero‑days Oracle EBS, avec rappel du contexte, de la chronologie et de l’impact.
🔗 Source originale : https://www.securityweek.com/madison-square-garden-data-breach-confirmed-months-after-hacker-attack/