Datenleck bei Spectrum: ShinyHunters reagieren auf abgelehntes Lösegeld

Das Unternehmen Charter Communications, das hinter Spectrum Internet, Kabelfernsehen und Mobilfunk steht, hat einen Datenverstoß bestätigt. Die Erpressergruppe ShinyHunters veröffentlichte gestohlene Kundendaten, nachdem ihre Lösegeldforderung am 27. Mai unbeantwortet verstrichen war.

Laut ShinyHunters gegenüber BleepingComputer erfolgte der Verstoß am 1. April durch einen Voice-Phishing-Angriff auf das Microsoft-Entra-Konto eines Charter-Mitarbeiters. Es wurde dabei keine technische Barriere umgangen – stattdessen gaben sich die Angreifer telefonisch als IT-Support aus und erlangten gültige Zugangsdaten. Anschließend nutzten sie diesen Zugriff, um Kundendaten aus Charters Salesforce-Instanz zu exportieren, bevor der Vorfall entdeckt wurde.

Was durchgesickert wurde

Cybernews bestätigte im Rahmen seiner Recherche, dass ShinyHunters Daten von mindestens 13 Millionen Personen sowie fast 10 Millionen Kundensupport-Tickets veröffentlicht hat. Betroffen sind überwiegend Kundendaten von Spectrum Enterprise, dem Geschäftsbereich für Großunternehmen, Konzerne und Behörden. Zusätzlich wurde ein interner Mitarbeiterdatensatz mit rund 85.000 Einträgen offengelegt, der unter anderem Berufsbezeichnungen, geschäftliche E-Mail-Adressen und teilweise auch Privatadressen enthält.

In den veröffentlichten Datensätzen finden sich Namen, E-Mail-Adressen, Anschriften, Telefonnummern, Telefontypen und Tarifinformationen. Ursprünglich sprach ShinyHunters von 40 bis 42 Millionen Datensätzen – eine Zahl, die die gesamte US-Kundenbasis von Charter (32 Millionen) übersteigt. Cybernews weist darauf hin, dass der Datensatz vermutlich Duplikate enthält. Have I Been Pwned bestätigte über BleepingComputer rund 4,9 Millionen eindeutige E-Mail-Adressen und nahm diese in seine Datenbank auf.

Charter und ShinyHunters sind sich in Bezug auf CPNI uneinig

Im Zentrum der Diskussion steht Customer Proprietary Network Information (CPNI), eine bundesrechtlich geschützte Datenkategorie, die unter anderem Anrufprotokolle, Serviceabonnements und Nutzungsmuster umfasst. Während Charter gegenüber BleepingComputer angibt, dass keine sensiblen personenbezogenen Daten oder CPNI betroffen seien, behauptet ShinyHunters das Gegenteil. Da die Daten inzwischen öffentlich zugänglich sind, können unabhängige Forscher beide Aussagen überprüfen.

Deutlich erkennbar ist ein wiederkehrendes Angriffsmuster. ShinyHunters hat 2026 mehrere große Ziele mit ähnlicher Vorgehensweise attackiert: Social Engineering zur Kompromittierung von Cloud-Identitäten oder SSO-Konten, anschließender Zugriff auf SaaS-Plattformen, massenhafter Datenexport und anschließende Lösegeldforderung. Die Carnival Corporation wurde im April ebenfalls betroffen, nachdem Angreifer über ein Drittanbieterkonto Zugang erhielten. Auch ADT, Aura und Panera waren im gleichen Zeitraum betroffen. Charter reagierte erst am 27. Mai – die Daten sind inzwischen öffentlich.

Für Spectrum-Kunden empfiehlt sich das Ändern des Passworts, das Aktivieren der Zwei-Faktor-Authentifizierung sowie erhöhte Vorsicht bei unerwarteten Kontaktaufnahmen, die sich als Charter oder Spectrum ausgeben. Have I Been Pwned bietet die Möglichkeit zu prüfen, ob die eigene E-Mail-Adresse betroffen ist. Eine Kreditsperre bei den Auskunfteien Equifax, Experian und TransUnion ist kostenlos, jederzeit rückgängig zu machen und verhindert die Eröffnung neuer Konten im eigenen Namen.