Charter Communications confirme une violation de données après extorsion par ShinyHunters

📰 Contexte

Source : BleepingComputer, publié le 26 mai 2026. Charter Communications, l’un des plus grands fournisseurs d’accès Internet aux États-Unis (marque Spectrum), a confirmé avoir subi une violation de données après avoir été listé sur le site de fuite du groupe ShinyHunters.

🎯 Vecteur d’attaque

Selon les déclarations du groupe à BleepingComputer, la compromission initiale a eu lieu le 1er avril via une attaque de voice phishing (vishing) ciblant un employé. Cette attaque a permis de compromettre un compte Microsoft Entra (SSO d’entreprise).

📦 Données exfiltrées (selon ShinyHunters)

Les attaquants affirment avoir exporté des données depuis l’instance Salesforce de Charter :

• Noms de clients
• Adresses e-mail
• Adresses postales
• Numéros de téléphone et type de ligne
• Informations sur les abonnements
• Données CPNI (Customer Proprietary Network Information)
• Données de tickets de support client

Le groupe revendique 40 millions de dossiers volés (consommateurs et entreprises).

🏢 Réponse de Charter

Charter indique alerter les autorités compétentes et affirme qu’aucune information personnelle sensible ni donnée CPNI n’a été exfiltrée. Cette déclaration est en contradiction directe avec les affirmations du groupe d’extorsion.

🔄 Modus operandi de ShinyHunters

Depuis 2024, ShinyHunters mène des campagnes de social engineering ciblant les comptes SSO (Microsoft Entra, Okta, Google SSO) d’employés et d’agents BPO. Une fois l’accès SSO obtenu, les attaquants pivotent vers des applications SaaS connectées : Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox. Les données volées servent ensuite à extorquer les victimes sous menace de publication.

🔗 Victimes précédentes liées

• Instructure (Canvas) : attaque similaire, accord financier conclu avec ShinyHunters pour éviter la publication
• 7-Eleven : violation confirmée revendiquée par ShinyHunters

📋 Type d’article

Annonce d’incident — L’article rapporte la confirmation officielle d’une violation de données par une entreprise victime, en confrontant la déclaration officielle aux revendications du groupe d’extorsion.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1566.004 — Phishing: Spearphishing Voice (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
• T1530 — Data from Cloud Storage (Collection)
• T1213 — Data from Information Repositories (Collection)
• T1657 — Financial Theft (Impact)
• T1537 — Transfer Data to Cloud Account (Exfiltration)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 12468 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 7 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/charter-confirms-data-breach-after-shinyhunters-extortion-threat