Хакеры ShinyHunters взломали Madison Square Garden через голосовой фишинг

Подготовлено редакцией Malakhov AI

404 Media·7 часов назад·2 минИндустрия

Группа хакеров ShinyHunters получила доступ к данным Madison Square Garden (MSG), позвонив сотруднику и заставив его сбросить пароль через функцию самосброса пароля (SSPR) Microsoft Entra, сообщает 404 Media со ссылкой на переписку с хакерами.

Кратко

—ShinyHunters использовали вишинг (голосовой фишинг) для взлома MSG.
—Хакеры позвонили сотруднику и убедили его пройти процедуру сброса пароля, включая подтверждение MFA.
—В результате утечки 45 ГБ данных оказались в открытом доступе, включая личные файлы сотрудника.
—Атака произошла 5 июня, а Microsoft ранее описывала похожую тактику в майском блоге.
—Группа ShinyHunters ожидала выкупа из-за практик наблюдения MSG, но компания не заплатила.

Глоссарий · 3 термина▾

вишинг: Голосовой фишинг — метод социальной инженерии, при котором злоумышленники звонят жертве и выдают себя за сотрудников техподдержки, чтобы получить конфиденциальные данные или доступ к системам.
SSPR: Self-Service Password Reset (самосброс пароля) — функция Microsoft Entra, позволяющая пользователям сбрасывать пароль самостоятельно, которую могут использовать злоумышленники для инициации атаки.
MFA: Многофакторная аутентификация — метод защиты, требующий подтверждения входа через дополнительный фактор (например, код из SMS или уведомление на телефоне), который хакеры могут пытаться обмануть с помощью социальной инженерии.

В начале июня хакерская группа ShinyHunters, известная по предыдущим атакам, взломала системы Madison Square Garden (MSG), получив доступ к 45 ГБ данных, включая личные файлы сотрудников и досье на знаменитостей. Как выяснило издание 404 Media, методом атаки стал вишинг — голосовая версия фишинга.

Злоумышленники позвонили низкоуровневому сотруднику MSG и, представившись сотрудниками техподдержки, убедили его пройти процедуру самосброса пароля (SSPR) в Microsoft Entra — системе управления учётными записями. Хакеры заставили жертву подтвердить многофакторную аутентификацию (MFA), после чего получили доступ к её OneDrive, а оттуда — к общесетевым ресурсам, включая SharePoint. Об этом рассказал участник ShinyHunters в переписке с 404 Media.

По словам хакеров, атака произошла 5 июня, а её тактика повторяет метод, описанный Microsoft в майском блоге. Microsoft тогда предупреждала об атаках, где злоумышленники инициируют SSPR и используют MFA-уведомления, чтобы заставить жертву одобрить вход. В случае с MSG всё прошло по схожему сценарию.

Хакеры позвонили сотруднику и убедили его пройти процедуру сброса пароля, включая подтверждение MFA.

Утечка включала не только рабочие документы, но и личные данные сотрудника — налоговую форму W-2 с именем и другой конфиденциальной информацией. Среди похищенных данных также оказались файлы о знаменитостях, посетителях и активистах, выступавших против системы распознавания лиц MSG. Юридическая фирма Morgan and Morgan подала коллективный иск, связывающий утечку с практиками наблюдения арены.

ShinyHunters заявили, что выбрали MSG из-за агрессивной системы наблюдения, надеясь получить выкуп, но компания не заплатила. MSG не ответила на запрос о комментарии. Инцидент вновь привлекает внимание к уязвимости корпоративных сетей перед социальной инженерией, особенно перед вишингом, который становится всё более распространённым среди молодых англоязычных хакеров.

Разобраться глубже

Как внедрить ИИ в бизнес в 2026 году: пошаговый план для руководителя

Практический гайд для руководителя: как выбрать первый проект с ИИ, подготовить данные, посчитать экономику и довести пилот до рабочего процесса.

Внедряю ИИ в бизнес — обсудим задачу

Аудит, пилотные проекты, полное внедрение. Начинаем с консультации.

Перейти к услугам

Получать анонсы в Telegram

Ежедневный дайджест лучших материалов об ИИ