ShinyHunters ha pubblicato 45GB di dati del Madison Square Garden, inclusi i registri di sorveglianza con riconoscimento facciale.

      TL;DRShinyHunters ha divulgato 45 GB di dati MSG dopo una scadenza di riscatto mancata, esponendo registrazioni di riconoscimento facciale e innescando un'azione legale collettiva federale.

      Il gruppo di crimine informatico ShinyHunters ha pubblicato 45 gigabyte di dati rubati da Madison Square Garden Entertainment dopo che l'azienda ha mancato una scadenza di riscatto del 15 giugno. Il dump include registrazioni di sorveglianza con riconoscimento facciale, valutazioni interne delle minacce e informazioni personali di quelli che gli hacker affermano essere 26 milioni di registri di clienti e aziende. Il giorno successivo è stata presentata un'azione legale collettiva federale.

      La violazione è avvenuta il 5 giugno, secondo un portavoce di ShinyHunters che ha parlato con 404 Media. I dati sono stati pubblicati il 16 giugno, giorni dopo che i New York Knicks hanno vinto le finali NBA in cinque partite contro gli Spurs, attirando un'intensa attenzione pubblica sull'arena e sul suo proprietario, James Dolan.

      Ciò che rende questa violazione insolita è la natura dei dati di sorveglianza che ha esposto. MSG ha implementato la tecnologia di riconoscimento facciale nei suoi luoghi per anni, utilizzando il sistema per controllare i visitatori e, in modo controverso, per vietare agli avvocati di studi legali che hanno citato in giudizio l'azienda. I file trapelati includono registri di tracciamento biometrico, informazioni sui controlli di background, valutazioni interne delle minacce e ciò che il reclamo dell'azione legale descrive come dossier dettagliati sui partecipanti.

      Un campione esaminato da 404 Media conteneva file che facevano riferimento specifico a personalità legate ai Knicks, con campi che includevano "indirizzo", "motivo di fama", "costo del talento" e informazioni di contatto diretto per individui o i loro rappresentanti. I dati includevano anche tag di rischio interni che classificavano le celebrità: l'attore Ben Stiller è stato profilato come "basso rischio", mentre il rapper A Boogie wit da Hoodie è stato contrassegnato come "alto rischio", secondo il deposito dell'azione legale. Non sono stati inclusi nei file trapelati criteri documentati che spiegassero le etichette.

      Le email dei clienti facevano anche parte del dump, inclusi messaggi di fan che avevano espresso preoccupazione per essere stati identificati erroneamente dalle telecamere di riconoscimento facciale di MSG. L'inclusione di questa corrispondenza rivela che MSG stava raccogliendo e archiviando reclami sulle proprie pratiche di sorveglianza insieme ai dati biometrici stessi.

      Un'azione legale collettiva, Avalo contro MSG Entertainment, è stata presentata il 16 giugno presso il tribunale federale di New York. Il querelante, Carlos Avalo, ha partecipato a un concerto presso MSG nel settembre 2025 e sostiene che i suoi dati biometrici siano stati catturati dai sistemi di ingresso del luogo. La causa richiede almeno 5 milioni di dollari in danni iniziali.

      Il reclamo accusa MSG di negligenza aziendale nel non riuscire a proteggere i dati che raccoglie aggressivamente, nonostante chiare avvertenze da parte degli attivisti per la privacy e una violazione precedente.

      Questa è la seconda grande violazione di MSG in meno di un anno. In un incidente separato divulgato nel febbraio 2026, il gruppo ransomware Cl0p ha sfruttato una vulnerabilità in un'applicazione Oracle eBusiness Suite ospitata da un fornitore utilizzata da MSG per la gestione delle buste paga e delle risorse umane. Quell'intrusione è iniziata nell'agosto 2025 ma è rimasta non rilevata fino al 16 dicembre 2025, esponendo i nomi, gli indirizzi e i numeri di previdenza sociale di circa 131.070 individui, principalmente dipendenti e appaltatori.

      ShinyHunters ha condotto una campagna sostenuta nel 2026, sfruttando un zero-day Oracle PeopleSoft non corretto per violare più di 100 organizzazioni, due terzi delle quali università. Il gruppo ha precedentemente orchestrato gli attacchi alla catena di approvvigionamento Snowflake del 2024 che hanno compromesso Ticketmaster e AT&T, e nel marzo 2026 ha violato la Commissione Europea, divulgando 350 gigabyte di dati da 42 clienti interni.

      L'attacco a MSG segue lo stesso schema utilizzato da ShinyHunters contro il sistema di gestione dell'apprendimento Canvas di Instructure ad aprile, dove il gruppo ha rivendicato 3,65 terabyte di dati da 275 milioni di utenti in 9.000 scuole. Il modello è coerente: identificare un obiettivo che possiede grandi volumi di dati sensibili, esfiltrarli, impostare una scadenza di riscatto e pubblicare quando la scadenza scade.

      MSG Entertainment non ha confermato pubblicamente l'entità della violazione né ha commentato l'azione legale collettiva. Il programma di riconoscimento facciale dell'azienda è stato oggetto di scrutinio almeno dal 2022, quando ha attirato l'attenzione per aver utilizzato la tecnologia per escludere avvocati di studi legali coinvolti in contenziosi contro l'azienda. L'ufficio del procuratore generale di New York ha indagato, e un tribunale statale ha inizialmente stabilito che la politica violava la legge contro la discriminazione, sebbene un tribunale d'appello abbia successivamente ribaltato quella decisione.

      La violazione solleva una domanda che si estende oltre MSG: le organizzazioni che investono pesantemente nella tecnologia di sorveglianza per monitorare i propri visitatori stanno creando esattamente il tipo di tesori di dati ad alto valore che gruppi come ShinyHunters prendono di mira. La cifra di 26 milioni citata dagli hacker non è stata verificata in modo indipendente, e l'intera portata dei dati biometrici esposti rimane poco chiara mentre l'indagine continua.