Uma ligação derrubou a Spectrum
O grupo ShinyHunters vazou dados de 4,9 milhões de contas da Charter Communications, dona da operadora Spectrum, uma das maiores telecomunicações dos Estados Unidos. O ataque não explorou zero-day, não usou malware sofisticado e não exigiu brechas em sistemas críticos. Bastou uma ligação telefônica de engenharia social — técnica conhecida como vishing — para comprometer a conta Microsoft Entra de um único funcionário e abrir caminho para o Salesforce da empresa, onde estavam milhões de registros de clientes. A Charter recusou o resgate e os dados foram publicados no site de vazamento do grupo no dia 29 de maio de 2026.
O que o ShinyHunters roubou
Segundo a análise do Have I Been Pwned, o vazamento confirmado inclui 4,9 milhões de endereços de e-mail únicos, nomes completos, números de telefone e endereços físicos. Um subconjunto de aproximadamente 85 mil registros — originário de um diretório interno de funcionários — expôs também cargos e dados de empregados.
O ShinyHunters alega ter extraído 42 milhões de registros do Salesforce da Charter, um número que excede a base de clientes ativos da operadora (cerca de 32 milhões). A diferença reflete, provavelmente, registros duplicados, clientes antigos e prospectos comerciais. O grupo afirma que o conjunto inclui detalhes de planos, histórico de chamadas de suporte e até dados CPNI — Customer Proprietary Network Information —, categoria protegida pela regulamentação da FCC que cobre registos de chamadas, assinaturas de serviço e padrões de uso.
A Charter, em contrapartida, afirma que nenhuma informação sensível e nenhum dado CPNI foi exfiltrado. A empresa não comentou detalhes adicionais nem confirmou o número exato de afetados, criando uma lacuna entre o que o grupo reivindica e o que a operadora reconhece publicamente.
| Dado | Confirmado pelo HIBP | Alegado pelo ShinyHunters |
|---|---|---|
| Contas únicas afetadas | 4,9 milhões | — |
| Total de registros extraídos | — | 42 milhões |
| Registros de funcionários | ~85 mil | — |
| Dados CPNI (chamadas, uso) | Não confirmado | Incluídos no vazamento |
| Senhas ou dados financeiros | Nenhum | Nenhum |
Como o ataque funcionou
A cadeia de ataque descrita pelo ShinyHunters revela um padrão que vem se repetindo em dezenas de intrusões. No dia 1º de abril de 2026, um atacante ligou para um funcionário da Charter e, por engenharia social, convenceu a vítima a ceder credenciais da conta Microsoft Entra — o serviço de identidade da Microsoft. Com essa credencial em mãos, o atacante acessou diretamente o ambiente Salesforce da empresa e realizou uma exportação massiva de registros de clientes a partir de um sistema de produção.
Nenhum exploit, nenhum malware. A porta de entrada foi humana — um padrão que a engenharia social mantém como vetor número um de intrusão corporativa. Esse é o método central do ShinyHunters: identificar empresas que dependem de plataformas SaaS como Salesforce, Okta e Microsoft 365, comprometer a camada de autenticação por meio de vishing ou phishing de código de dispositivo, e extrair dados em escala para fins de extorsão.
A fábrica de vazamentos do ShinyHunters
O ShinyHunters não é um grupo oportunista. Trata-se de uma operação estruturada que segundo o Security Affairs, está ligada a uma rede conhecida como “the Com” — um coletivo de criminosos cibernéticos jovens, de língua inglesa, que opera de forma descentralizada mas com um modelo de negócio claro: roubar dados, exigir resgate, vazar quando não recebem pagamento.
A lista de vítimas recentes do grupo inclui alvos de peso: Comissão Europeia, Odido (6,2 milhões de clientes), 7-Eleven, Carnival, Canada Goose, Rockstar Games e SoundCloud. Apenas na campanha contra clientes do Salesforce, o grupo alega ter invadido mais de mil organizações e roubado cerca de 1,5 bilhão de registros no agregado. A Charter é o mais recente nome numa sequência que mostra zero sinais de desaceleração.
O FBI aconselha as vítimas a não pagar o resgate, pois o pagamento não garante que os dados não serão vendidos a outros criminosos ou usados em campanhas de extorsão futuras.
Por que isso importa ao Brasil
A lição central deste incidente vai além da Charter. O vetor de ataque — vishing contra contas corporativas de autenticação — é replicável em qualquer organização que dependa de SaaS. Empresas brasileiras usam Salesforce, Microsoft 365 e Okta nas mesmas proporções que as americanas. A diferença está na maturidade da resposta: enquanto a Charter tem equipes de segurança e acesso imediato ao FBI, a maioria das empresas brasileiras opera com equipes enxutas e sem planos de resposta a incidentes testados.
O segundo ponto de atenção é o destino dos dados vazados. Registros com nomes, e-mails, telefones e endereços alimentam campanhas de phishing altamente personalizadas. Um atacante que sabe qual plano de internet um cliente usa, qual foi o último ticket de suporte e qual o endereço cadastrado pode montar um e-mail ou ligação praticamente indistinguível de uma comunicação legítima da operadora. Para o brasileiro que recebe ligações de supostas operadoras pedindo confirmação de dados, o risco é concreto.
Além disso, a Charter foi anteriormente comprometida pelo Salt Typhoon, grupo patrocinado pelo estado chinês que atingiu também AT&T, Verizon e dezenas de telecomunicações globais. O setor de telecomunicações é um alvo permanente, e a segurança das identidades de funcionários é o anel fraco da corrente.
O que os profissionais precisam revisar
Incidentes como o da Charter colocam em evidência pontos de falha que muitas organizações ignoram:
- Autenticação com fator único: se a conta Microsoft Entra daquele funcionário tivesse MFA por hardware token ou push condicional, a ligação não teria sido suficiente. O vishing funciona porque credenciais por si só abrem portas — um problema que transformou o roubo de sessão no risco mais subestimado das corporações.
- Acesso excessivo ao Salesforce: exportar 42 milhões de registros de produção sem alarme indica ausência de controles de DLP, monitoramento de queries massivas e limites de acesso por função.
- Treinamento contra engenharia social: o funcionário cedeu a credencial por telefone. Treinamentos genéricos de phishing por e-mail não cobrem esse vetor. Simulações de vishing e políticas de verificação de identidade para alterações de credenciais são essenciais.
- Resposta ao vazamento: a lacuna entre o que a Charter afirma e o que o Have I Been Pwned confirmou gera desconfiança. Transparência na comunicação pós-incidente reduz o dano reputacional e auxilia os afetados a se protegerem.
Referências
- BleepingComputer — Charter Communications data breach affects 4.9 million accounts
- Security Affairs — ShinyHunters leaks Charter Communications data
- Have I Been Pwned — Charter Data Breach
- SafeState — Charter Communications Data Breach Exposes 42 Million Records
- SecurityWeek — Charter Communications data breach could impact nearly 5 million