ShinyHunters опубликовали 45 ГБ данных о Madison Square Garden, включая записи видеонаблюдения с распознаванием лиц.

      TL;DRShinyHunters утекло 45 ГБ данных MSG после пропущенного срока выкупа, раскрывая записи распознавания лиц и инициируя федеральный коллективный иск. Киберпреступная группа ShinyHunters опубликовала 45 гигабайт данных, украденных у Madison Square Garden Entertainment, после того как компания пропустила срок выкупа 15 июня. В утечке содержатся записи видеонаблюдения с распознаванием лиц, внутренние оценки угроз и личная информация из 26 миллионов записей клиентов и компаний, как утверждают хакеры. На следующий день был подан федеральный коллективный иск. Утечка произошла 5 июня, согласно словам представителя ShinyHunters, который общался с 404 Media. Данные были опубликованы 16 июня, через несколько дней после того, как Нью-Йорк Никс выиграли финал НБА в пяти играх против Сперс, привлекая интенсивное общественное внимание к арене и ее владельцу, Джеймсу Долану. Что делает эту утечку необычной, так это характер раскрытых данных наблюдения. MSG использует технологию распознавания лиц на своих объектах в течение многих лет, используя систему для проверки посетителей и, спорно, для запрета адвокатам из фирм, которые подали иски против компании. Утекшие файлы содержат журналы биометрического отслеживания, информацию о проверках биографии, внутренние оценки угроз и то, что в иске описывается как подробные досье на участников. Образец, рассмотренный 404 Media, содержал файлы, специально упоминающие личности, связанные с Никс, с полями, включая «адрес», «причина известности», «стоимость таланта» и прямую контактную информацию для отдельных лиц или их представителей. Данные также включали внутренние метки риска, классифицирующие знаменитостей: актера Бена Стиллера охарактеризовали как «низкий риск», в то время как рэпера A Boogie wit da Hoodie отметили как «высокий риск», согласно иску. В утекших файлах не было документированных критериев, объясняющих эти метки. Электронные письма клиентов также были частью утечки, включая сообщения от фанатов, которые выражали беспокойство о том, что их неверно идентифицируют камеры распознавания лиц MSG. Включение этой переписки показывает, что MSG собирала и хранила жалобы на свои собственные практики наблюдения наряду с биометрическими данными. Коллективный иск, Avalo против MSG Entertainment, был подан 16 июня в федеральный суд Нью-Йорка. Истец, Карлос Авало, посетил концерт в MSG в сентябре 2025 года и утверждает, что его биометрические данные были захвачены системами входа заведения. Иск требует как минимум 5 миллионов долларов в качестве первоначального возмещения ущерба. Иск обвиняет MSG в корпоративной небрежности за то, что она не обеспечила безопасность данных, которые она активно собирает, несмотря на четкие предупреждения со стороны защитников конфиденциальности и предыдущую утечку. Это вторая крупная утечка MSG менее чем за год. В отдельном инциденте, раскрытом в феврале 2026 года, группа-вымогатель Cl0p использовала уязвимость в приложении Oracle eBusiness Suite, размещенном у поставщика, которое использовалось MSG для расчета заработной платы и управления человеческими ресурсами. Это вторжение началось в августе 2025 года, но оставалось незамеченным до 16 декабря 2025 года и раскрыло имена, адреса и номера социального страхования примерно 131 070 человек, в основном сотрудников и подрядчиков. ShinyHunters проводит активную кампанию в 2026 году, используя незащищенную уязвимость Oracle PeopleSoft для взлома более 100 организаций, две трети из которых составляют университеты. Группа ранее организовала атаки на цепочку поставок Snowflake в 2024 году, которые затронули Ticketmaster и AT&T, а в марте 2026 года взломала Европейскую комиссию, утекши 350 гигабайт данных от 42 внутренних клиентов. Атака на MSG следует той же схеме, которую ShinyHunters использовала против системы управления обучением Canvas от Instructure в апреле, где группа заявила о 3,65 терабайта данных от 275 миллионов пользователей из 9 000 школ. Шаблон остается неизменным: определить цель, обладающую большими объемами чувствительных данных, экстрагировать их, установить срок выкупа и опубликовать данные, когда срок истекает. MSG Entertainment не подтвердила публично масштаб утечки и не прокомментировала коллективный иск. Программа распознавания лиц компании подвергалась критике как минимум с 2022 года, когда она привлекла внимание за использование технологии для запрета адвокатам из фирм, участвующих в судебных разбирательствах против компании. Генеральный прокурор Нью-Йорка провел расследование, и государственный суд первоначально постановил, что политика нарушает закон о недискриминации, хотя апелляционный суд позже отменил это решение. Утечка поднимает вопрос, который выходит за рамки MSG: организации, которые активно инвестируют в технологии наблюдения для мониторинга своих посетителей, создают именно те высокоценные хранилища данных, которые нацелены на группы, такие как ShinyHunters. Цифра в 26 миллионов, упомянутая хакерами, не была независимо проверена, и полный масштаб раскрытых биометрических данных остается неясным по мере продолжения расследования.