Security

Διαρροή 45GB δεδομένων του Madison Square Garden: Στο διαδίκτυο στοιχεία VIPs και συστήματα αναγνώρισης προσώπου

Yannis Elpidis
Yannis Elpidis
Add as preferred source on Google
caption

Σύνοψη

  • Η γνωστή ομάδα hacking ShinyHunters δημοσίευσε περίπου 45GB δεδομένων που ανήκουν στο Madison Square Garden (MSG) και την ομάδα των New York Knicks.
  • Η διαρροή περιλαμβάνει προσωπικά στοιχεία (διευθύνσεις, αμοιβές, στοιχεία επικοινωνίας) παικτών, προπονητών και διασημοτήτων, οι οποίοι κατηγοριοποιούνται εσωτερικά ως "Low Risk" ή "High Risk".
  • Εκτίθενται λεπτομέρειες που συνδέονται με το αμφιλεγόμενο σύστημα αναγνώρισης προσώπου του MSG, το οποίο χρησιμοποιείται για τον εντοπισμό και τον αποκλεισμό συγκεκριμένων επισκεπτών.
  • Η δημοσιοποίηση των δεδομένων συνέβη λίγες μόνο ημέρες μετά την κατάκτηση του πρωταθλήματος NBA από τους Knicks, μεγιστοποιώντας τον αντίκτυπο, αν και η αρχική παραβίαση καταγράφηκε στις 5 Ιουνίου.
  • Πρόκειται για το δεύτερο μεγάλο περιστατικό ασφαλείας του MSG φέτος, μετά την επίθεση της ομάδας ransomware Cl0p τον Μάρτιο.

Η ομάδα ShinyHunters δημοσιοποίησε ελεύθερα στο διαδίκτυο 45GB ευαίσθητων εταιρικών και προσωπικών δεδομένων του MSG και των New York Knicks. Στα αρχεία περιλαμβάνονται βάσεις δεδομένων «ταλέντων», εσωτερικές αξιολογήσεις ρίσκου (Low/High Risk), αρχεία του συστήματος αναγνώρισης προσώπου, διευθύνσεις, οικονομικές συμφωνίες, καθώς και χιλιάδες email επικοινωνίας πελατών με την εταιρεία.

Η συγκεκριμένη κυβερνοεπίθεση αποκαλύπτει τον πυρήνα της λειτουργίας ενός από τα πιο εμβληματικά στάδια του κόσμου. Σύμφωνα με τα στοιχεία που δημοσίευσε το 404 Media, το χτύπημα δεν περιορίστηκε σε απλά ονόματα και email. Οι επιτιθέμενοι απέκτησαν πρόσβαση στο "Talent Database", ένα κεντρικό μητρώο που καταγράφει πρώην παίκτες των Knicks, προπονητές, συγγενείς των στελεχών του MSG και άλλους VIPs. Κάθε εγγραφή περιέχει εξαιρετικά λεπτομερή πεδία: από την "αιτία φήμης" (claim to fame) και το κόστος εμφάνισης (cost of talent), μέχρι τις ακριβείς διευθύνσεις και τα τηλέφωνα των εκπροσώπων τους.

Παράλληλα, η δημοσιοποίηση των εσωτερικών αρχείων επικοινωνίας μεταξύ του MSG και των πελατών του θέτει σε κίνδυνο την ιδιωτικότητα χιλιάδων απλών χρηστών. Οι επιτιθέμενοι ξεκαθάρισαν τη στάση τους μέσω ενός μηνύματος στο site τους: «Είναι πολύ απλό. Όταν μας πληρώνετε, τα δεδομένα σας διαγράφονται και προχωράτε τη ζωή σας. Όταν δεν πληρώνετε, αναρτώνται εδώ». Η διοίκηση του MSG προφανώς αρνήθηκε να καταβάλει τα λύτρα, οδηγώντας στη μαζική διαρροή.

Η διαχείριση κινδύνου και το σύστημα αναγνώρισης προσώπου

Το Madison Square Garden είναι διαβόητο τα τελευταία χρόνια για την επιθετική χρήση λογισμικού αναγνώρισης προσώπου. Σκοπός της τεχνολογίας αυτής ήταν, μεταξύ άλλων, ο εντοπισμός και η απομάκρυνση δικηγόρων που εργάζονταν σε νομικές φίρμες οι οποίες βρίσκονταν σε δικαστική διαμάχη με την εταιρεία του James Dolan, ιδιοκτήτη του MSG.

Η διαρροή αυτών των εγγραφών δείχνει ακριβώς πώς η εταιρεία κατηγοριοποιούσε τους επισκέπτες και τους VIPs. Οι ετικέτες "Low Risk" (Χαμηλού Κινδύνου) και "High Risk" (Υψηλού Κινδύνου) αποδεικνύουν την ύπαρξη μιας αυστηρής, εσωτερικής δομής παρακολούθησης. Η διαρροή βιομετρικών δεδομένων ή εγγραφών που συνδέονται με κάμερες αναγνώρισης προσώπου εκατομμυρίων επισκεπτών εγείρει τεράστια νομικά και ηθικά ζητήματα. Τα βιομετρικά χαρακτηριστικά δεν μπορούν να αλλάξουν (όπως ένας κωδικός πρόσβασης), καθιστώντας αυτή την παραβίαση εξαιρετικά κρίσιμη για την ατομική ασφάλεια όσων έχουν επισκεφθεί τον χώρο.

Η ομάδα ShinyHunters και το timing της επίθεσης

Η ομάδα ShinyHunters δεν είναι άγνωστη στην κοινότητα του κυβερνοεγκλήματος. Έχοντας αναλάβει την ευθύνη για τεράστιες παραβιάσεις (όπως η πρόσφατη πώληση εκατομμυρίων στοιχείων από μεγάλες πολυεθνικές), η ομάδα έχει εξελιχθεί σε έναν από τους πιο επικίνδυνους παίκτες στον χώρο του data extortion. Σύμφωνα με εκπρόσωπο των hackers, η διείσδυση στα συστήματα του MSG πραγματοποιήθηκε στις 5 Ιουνίου 2026.

Η επιλογή της 16ης Ιουνίου για τη δημοσιοποίηση των δεδομένων ήταν κάθε άλλο παρά τυχαία. Λίγες ημέρες νωρίτερα, οι New York Knicks είχαν κατακτήσει το πρωτάθλημα του NBA απέναντι στους San Antonio Spurs (σε πέντε αγώνες). Η δημοσιότητα γύρω από την ομάδα και το στάδιο βρισκόταν στο υψηλότερο δυνατό επίπεδο. Οι hackers εκμεταλλεύτηκαν το momentum, χρησιμοποιώντας την αθλητική επιτυχία ως μοχλό πίεσης και ως μέσο για να προκαλέσουν τη μέγιστη δυνατή ζημιά στη φήμη του οργανισμού. Πρόκειται για μια κλασική τακτική, όπου η χρονική στιγμή της διαρροής επιλέγεται με βάση τα επίπεδα προσοχής των media.

Διπλό χτύπημα: Η αποτυχία της κυβερνοασφάλειας του MSG

Η συγκεκριμένη διαρροή καθιστά το MSG ένα από τα χειρότερα παραδείγματα ψηφιακής θωράκισης για το τρέχον έτος. Μόλις τον Μάρτιο του 2026, η εταιρεία είχε παραδεχτεί μια διαφορετική παραβίαση στο περιβάλλον Oracle E-Business Suite από την ομάδα ransomware Cl0p. Το γεγονός ότι δύο διαφορετικές ομάδες κυβερνοεγκληματιών (Cl0p και ShinyHunters) κατάφεραν να παραβιάσουν διαφορετικά συστήματα (οικονομικά συστήματα και βάσεις δεδομένων ταλέντων/πελατών αντίστοιχα) μέσα σε διάστημα τριών μηνών, υποδηλώνει δομικά κενά στην αρχιτεκτονική ασφαλείας του οργανισμού.

Αυτό δημιουργεί και τοπικό ενδιαφέρον για τις ελληνικές εταιρείες και τα μεγάλα στάδια (π.χ. ΟΑΚΑ, OPAP Arena) που αναβαθμίζουν τις υποδομές τους. Η εφαρμογή συστημάτων ticketing, VIP management και βιομετρικού ελέγχου (όπου ο νόμος το επιτρέπει) απαιτεί αυστηρό διαχωρισμό. Η περίπτωση του MSG δείχνει ότι η συγχώνευση λειτουργικών δεδομένων με ευαίσθητα προσωπικά και βιομετρικά αρχεία σε προσβάσιμους servers μπορεί να αποβεί μοιραία.

Η άποψη του Techgear

Η υπόθεση του Madison Square Garden αποδεικνύει τις συνέπειες της αλόγιστης συγκέντρωσης δεδομένων χωρίς τα απαραίτητα πρωτόκολλα προστασίας. Ενώ η εταιρεία επένδυσε εκατομμύρια σε συστήματα αναγνώρισης προσώπου για να ελέγχει ποιος μπαίνει στο κτίριο, απέτυχε οικτρά να ελέγξει ποιος μπαίνει στους servers της. Η κατηγοριοποίηση ανθρώπων σε λίστες επικινδυνότητας θυμίζει δυστοπικές πρακτικές, αλλά η πραγματική ζημιά γίνεται στους απλούς φιλάθλους, των οποίων τα στοιχεία αγοράς εισιτηρίων βρίσκονται πλέον διαθέσιμα σε κάθε κακόβουλο παράγοντα. Το πάθημα του MSG πρέπει να λειτουργήσει ως σαφές προειδοποιητικό μήνυμα για τους εγχώριους οργανισμούς ότι η συλλογή προσωπικών και βιομετρικών δεδομένων αυξάνει γεωμετρικά την ευθύνη φύλαξής τους.

googlenews

Ακολουθήστε το Techgear.gr στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα!

Διαβάστε επίσης

Loading