CEVIU Logo
Voltar

ShinyHunters vaza dados de 5 milhões de clientes da Charter Communications após extorsão fracassada

Aprofundamento CEVIU

Aprofundamento

O ShinyHunters não só vazou dados da Charter Communications em 1º de junho, mas o fez com uma cadeia de exploração técnica bem documentada: phishing de voz (vishing) contra um funcionário em 1º de abril comprometeu uma conta Microsoft Entra, que foi usada para acessar a instância do Salesforce da empresa, onde os registros foram exfiltrados. Apesar de o grupo ter alegado 42 milhões de registros, a análise forense independente no Have I Been Pwned identificou 4,9 milhões de e-mails únicos expostos, com nomes, telefones e endereços físicos. Um detalhe crítico omitido na maioria das reportagens é que 85 mil registros pertencem a um diretório interno de funcionários, incluindo cargos, o que amplia o risco de ataques direcionados futuros, como spear phishing ou comprometimento de contas privilegiadas.

A infraestrutura de ataque segue o padrão consolidado do grupo desde 2025: foco em identidade como vetor principal (Microsoft Entra, Okta, Salesforce), exploração de permissões excessivas em ambientes SaaS e uso sistemático de engenharia social avançada. Diferente de ransomware tradicional, o ShinyHunters opera como um 'data broker criminoso': não criptografa sistemas, mas rouba, avalia e pressiona, com prazos curtos (27 de maio, nesse caso) e ameaças públicas escalonadas. Seus clusters de ameaça (UNC6040, UNC6240, UNC6661) são monitorados pelo GTIG do Google há mais de dois anos, mas sua capacidade de adaptação, como o salto de ataques a provedores de educação (Canvas/Instructure) em maio para operadoras de telecom em junho, mostra que a defesa baseada em listas negras ou assinaturas já é insuficiente.

O que mudou

Na cobertura anterior de 25 de maio, o ShinyHunters ainda ameaçava divulgar 42 milhões de registros; em 27 de maio, a Charter confirmou o incidente, mas não a escala nem o conteúdo dos dados. Agora, com o vazamento efetivo em 1º de junho, temos confirmação empírica: 4,9 milhões de e-mails únicos expostos, não 42 milhões, e dados sensíveis limitados, sem CPNI (Customer Proprietary Network Information), conforme declarado pela empresa. O que era rumor tornou-se evidência forense verificável. Também mudou o padrão de resposta: enquanto a Instructure pagou resgate em 11 de maio para conter o vazamento do Canvas, a Charter manteve postura de não pagamento, e sofreu a consequência pública imediata, reforçando o risco real de recusa estratégica em casos de violação em nuvem.

Por que isso importa

Esse caso não é apenas mais um vazamento: é um alerta técnico claro para empresas que usam Salesforce, Microsoft Entra ou Okta como pilares de identidade. A falha não foi em código-fonte ou firewall, mas em controle de acesso humano, uma chamada de vishing seguida de exploração de credenciais válidas. Isso significa que MFA por SMS ou autenticação baseada em senha continua vulnerável, mesmo em ambientes altamente regulados. Para operadoras brasileiras que usam estruturas similares (como TIM, Claro ou Vivo com Salesforce CRM ou Azure AD), o precedente da Charter mostra que o maior risco não está na nuvem em si, mas na forma como as contas de identidade são gerenciadas, auditadas e protegidas contra engenharia social. A Lei Geral de Proteção de Dados (LGPD) exige medidas técnicas 'adequadas ao risco', e esse incidente prova que treinamento contra vishing e políticas de privilégio mínimo não são opcionais, são exigências legais com impacto financeiro e reputacional mensurável.

Linha do tempo

  1. ShinyHunters ameaça divulgar 42 milhões de registros da Charter Communications

  2. Charter confirma incidente após ameaça de extorsão do ShinyHunters

  3. ShinyHunters vaza dados de 5 milhões de clientes da Charter Communications

Perguntas frequentes

Quais dados reais foram vazados da Charter Communications?

Foram expostos 4,9 milhões de endereços de e-mail únicos, além de nomes, números de telefone e endereços físicos. Um subconjunto de 85 mil registros corresponde a um diretório interno de funcionários com cargos. Nenhum dado de rede proprietária (CPNI) ou informações financeiras foram confirmados como comprometidos.

Como o ShinyHunters conseguiu acessar os sistemas da Charter?

Por meio de um ataque de phishing de voz (vishing) em 1º de abril de 2026, que comprometeu uma conta Microsoft Entra de um funcionário. Com essas credenciais, os invasores acessaram a instância do Salesforce da empresa e exfiltraram os dados.

Por que a Charter não pagou o resgate, se outras empresas como a Instructure fizeram isso?

A Charter optou por não negociar com criminosos, alinhada à política federal dos EUA contra pagamentos de resgate. Já a Instructure pagou em 11 de maio para evitar a exposição de 3,65 TB de dados educacionais, um cenário distinto, com maior volume e sensibilidade de informações de menores e instituições.

O que empresas brasileiras devem fazer agora para se proteger desse tipo de ataque?

Auditar configurações de Microsoft Entra e Salesforce quanto a permissões excessivas, substituir MFA por SMS por chaves de segurança FIDO2 ou aplicativos autenticadores, treinar equipes contra vishing com simulações reais e implementar políticas de acesso justo (just-in-time) para contas privilegiadas. A LGPD exige justamente esse nível de controle técnico sobre identidade.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser