Sekretna baza danych Madison Square Garden
Madison Square Garden (MSG), jedna z najbardziej ikonicznych aren sportowych świata, prowadzi szczegółową bazę danych swoich najważniejszych gości. Wyciek informacji, za którym stoi grupa hakerska ShinyHunters, ujawnił, że organizacja zarządza listą około 400 celebrytów, wpływowych postaci ze świata biznesu, mediów i polityki, przypisując im oceny ryzyka oraz specyficzne etykiety.
Wśród osób monitorowanych przez system znajdują się gwiazdy często widywane w pierwszych rzędach podczas meczów New York Knicks, takie jak Edie Falco, Mark Ronson, John Turturro czy Tracy Morgan. Choć w bazie znajduje się blisko 40 tysięcy wpisów, to właśnie ta grupa „VIP-ów” stała się obiektem najbardziej wnikliwej analizy bezpieczeństwa obiektu.
System oceny ryzyka i inwigilacja w sieci
Z dokumentów wynika, że MSG stosuje wielostopniową skalę oceny swoich gości. System nie tylko monitoruje potencjalne zagrożenia fizyczne, ale przede wszystkim śledzi aktywność celebrytów w mediach społecznościowych. Osoby, które w przeszłości krytykowały właściciela obiektu, Jima Dolana, lub samą organizację, trafiają na listy osób niepożądanych lub otrzymują wyższe noty ryzyka.
To naprawdę paranoiczny, okropny system.
Tak o mechanizmach kontroli wypowiada się osoba zaznajomiona z wewnętrznymi procedurami bezpieczeństwa MSG. Według niej, nawet błahe uwagi dotyczące obsługi w hali czy krytyka drużyny mogą skutkować wpisaniem danej osoby do bazy. Przykładowo, raper Fat Joe, mimo bycia zagorzałym fanem Knicks, został oznaczony jako „średnie ryzyko”, prawdopodobnie ze względu na swoje powiązania z innymi artystami, którzy otwarcie krytykowali Dolana.
Kategorie i etykiety w bazie danych
System segregacji gości jest niezwykle szczegółowy. Oprócz oceny ryzyka, baza zawiera etykiety dotyczące orientacji seksualnej i tożsamości płciowej – 93 wpisy oznaczono jako „LGBTQIA”. Zaskakujące jest również to, że w bazie odnotowano obecność gości weselnych Taylor Swift i Travisa Kelce, przypisując im status „niskiego ryzyka”.
Oto jak prezentuje się skala ryzyka stosowana przez ochronę obiektu:
W bazie znajdują się również osoby oznaczone jako „DO NOT HOST”, co oznacza zakaz przyznawania darmowych biletów. Dotyczy to m.in. komika Adama Pally’ego oraz producenta Pete’a Rocka, którzy otwarcie wyrażali swoje niezadowolenie z polityki prowadzonej przez zarząd hali.
Skala wycieku danych
Hakerzy z grupy ShinyHunters opublikowali łącznie 45 gigabajtów danych. Oprócz listy celebrytów, wyciek zawiera drugą, znacznie większą bazę danych, obejmującą ponad 10,5 miliona wpisów z systemu zarządzania klientami Salesforce. Wśród nich znajduje się blisko 9,8 miliona unikalnych adresów e-mail, ponad 2,8 miliona numerów telefonów oraz tysiące dat urodzenia.
Wartość rynkowa takich danych jest trudna do oszacowania, jednak w kontekście cyberprzestępczości, bazy zawierające miliony rekordów są niezwykle cenne. Dla porównania, w podobnych atakach na inne korporacje, hakerzy żądali okupów liczonych w milionach dolarów (często przekraczających równowartość kilku-kilkunastu milionów złotych). W przypadku MSG, hakerzy również domagali się okupu, grożąc upublicznieniem danych, jednak organizacja nie zdecydowała się na zapłatę.
Kontekst polityczny i technologiczny
Baza danych zawiera również informacje o 32 kandydatach politycznych wspieranych przez komitet akcji politycznej (PAC) związany z MSG oraz o dziesiątkach urzędników. Co istotne, osoby te nie posiadają przypisanych ocen ryzyka. W dokumentach znaleziono także wrażliwe dane, takie jak prywatne numery telefonów i adresy zamieszkania wysokich rangą urzędników, w tym obecnej komisarz nowojorskiej policji, Jessiki Tisch.
Eksperci ds. bezpieczeństwa wskazują, że atak był możliwy dzięki technice „vishing” (głosowy phishing), w której hakerzy podszywali się pod pracowników, aby uzyskać dostęp do systemów korporacyjnych. Mimo licznych ostrzeżeń ze strony Microsoftu i FBI dotyczących aktywności ShinyHunters, Madison Square Garden stało się kolejną ofiarą grupy, która od 2019 roku specjalizuje się w wymuszeniach na wielką skalę.
Sprawa ta wywołała falę krytyki ze strony organizacji zajmujących się ochroną prywatności. Podkreślają one, że gromadzenie tak ogromnej ilości wrażliwych danych przez podmiot, który jednocześnie stosuje zaawansowane systemy rozpoznawania twarzy przy wejściu do swoich obiektów, stanowi poważne zagrożenie dla prywatności obywateli.

