Přejít na hlavní obsah
CIAD

ShinyHunters unikl zákaznická data Spectrum poté, co firma odmítla zaplatit

Hackerská skupina ShinyHunters získala přístup přes falešný telefonát, ukradla data ze Salesforce a po odmítnutí výkupného je zveřejnila.

Hackerská skupina ShinyHunters pohrozila v květnu 2026 americkému telekomunikačnímu operátorovi Charter Communications (provozuje síť Spectrum) zveřejněním zákaznických dat. Jako termín stanovila 27. května 2026. Charter výkupné odmítl zaplatit a data byla zveřejněna. Případ ukazuje, jak dnes podobné útoky probíhají a co znamená rozhodnutí neplatit.

Jak útok probíhal

Útočníci použili techniku zvanou vishing (phishing přes telefon): zavolali zaměstnanci Charter, vydávali se za důvěryhodný zdroj a přiměli ho předat přístupové údaje do firemního systému Microsoft Entra (cloudová správa identit a přístupu, dříve Azure AD). S těmito platnými přihlašovacími údaji se pak přihlásili do CRM systému Salesforce (software pro správu zákaznické databáze), odkud stáhli zákaznická data.

Protože útočníci vstoupili do systému s platnými přihlašovacími údaji, monitorovací nástroje na obvodu sítě je nezachytily. Exfiltrace, tedy stahování dat ven, probíhala bez zřejmých stop.

Kolik dat uniklo

ShinyHunters tvrdí, že databáze obsahuje 42 milionů záznamů. Charter toto číslo zpochybnil. Nezávislé ověření přes službu Have I Been Pwned (HIBP, veřejná databáze uniklých dat) potvrdilo 4,9 milionu unikátních e-mailových adres a přibližně 85 tisíc záznamů z interního adresáře zaměstnanců.

Uniklá data zahrnují jména, e-mailové adresy, poštovní adresy, telefonní čísla a část CPNI (Customer Proprietary Network Information, tedy citlivé informace o využívání telekomunikačních služeb zákazníky).

Proč to zajímá i české firmy

Technika vishingového útoku na systém pro správu identit se v roce 2026 šíří napříč odvětvími, nikoliv jen v telekomunikacích. Telekomunikační operátoři v ČR a EU spravují srovnatelně citlivá zákaznická data. Únik osobních údajů v tomto rozsahu by v evropském kontextu znamenal povinnost nahlásit incident dozorovému úřadu do 72 hodin a potenciální sankce podle článku 83 nařízení GDPR.

Co z toho plyne

Útok ukazuje několik praktických doporučení:

  • Nasaďte vícefaktorové ověřování odolné vůči phishingu (standard FIDO2 nebo přístupové klíče zvané passkeys) pro všechny přístupy k Entra ID a CRM systémům.
  • Školte zaměstnance v rozpoznání vishingových hovorů, zejména pracovníky helpdesku a správy přístupu.
  • Nastavte detekci anomálií v přístupu k Salesforce: geografické odchylky, neobvykle velké objemy exportů a přihlášení mimo pracovní dobu.
  • Připravte plán reakce na vydírání zahrnující komunikační strategii vůči médiím, regulátorům a zákazníkům.
  • Segmentujte CRM data tak, aby jeden kompromitovaný účet neměl přístup k celé zákaznické databázi.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog