Nhóm tội phạm mạng ShinyHunters đã xuất bản 45 gigabyte dữ liệu bị đánh cắp từ Madison Square Garden Entertainment sau khi công ty bỏ lỡ thời hạn đòi tiền chuộc vào ngày 15 tháng 6. Kết xuất này bao gồm các hồ sơ giám sát nhận dạng khuôn mặt, đánh giá mối đe dọa nội bộ và thông tin cá nhân từ những gì tin tặc cho là 26 triệu hồ sơ khách hàng và công ty. Một vụ kiện tập thể liên bang đã được đệ trình vào ngày hôm sau.
Theo người phát ngôn của ShinyHunters, người đã nói chuyện với 404 Media, vụ vi phạm xảy ra vào ngày 5 tháng 6. Dữ liệu được công bố vào ngày 16 tháng 6, vài ngày sau khi New York Knicks giành chức vô địch NBA Finals trong 5 trận đấu với Spurs, khiến dư luận đặc biệt chú ý đến nhà thi đấu và chủ sở hữu của nó, James Dolan.
Điều khiến vi phạm này trở nên bất thường là bản chất của dữ liệu giám sát mà nó tiết lộ. MSG đã triển khai công nghệ nhận dạng khuôn mặt trên khắp các địa điểm của mình trong nhiều năm, sử dụng hệ thống này để sàng lọc du khách và gây tranh cãi là cấm luật sư từ các công ty đã kiện công ty. Các tệp bị rò rỉ bao gồm nhật ký theo dõi sinh trắc học, thông tin kiểm tra lý lịch, đánh giá mối đe dọa nội bộ và những gì mà khiếu nại tập thể mô tả là hồ sơ chi tiết về những người tham dự.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Một mẫu được 404 Media xem xét chứa các tệp đề cập cụ thể đến các tính cách liên quan đến Knicks, với các trường bao gồm “Địa chỉ,” “tuyên bố để nổi tiếng,” “cái giá của tài năng,” và thông tin liên hệ trực tiếp của các cá nhân hoặc người đại diện của họ. Dữ liệu cũng bao gồm các thẻ rủi ro nội bộ phân loại những người nổi tiếng: nam diễn viên Ben Stiller được mô tả là “rủi ro thấp,” trong khi rapper A Boogie wit da hoodie bị gắn cờ là “rủi ro cao,” theo hồ sơ vụ kiện tập thể. Không có tiêu chí tài liệu nào giải thích các nhãn được đưa vào các tệp bị rò rỉ.
Email của khách hàng cũng là một phần của dữ liệu bị xóa, bao gồm cả tin nhắn từ những người hâm mộ bày tỏ lo ngại về việc bị camera nhận dạng khuôn mặt của MSG xác định nhầm. Việc đưa vào thư này cho thấy MSG đang thu thập và lưu trữ các khiếu nại về các hoạt động giám sát của chính họ cùng với chính dữ liệu sinh trắc học.
Một vụ kiện tập thể, Avalo v MSG Entertainmentđã được đệ trình vào ngày 16 tháng 6 tại tòa án liên bang New York. Nguyên đơn, Carlos Avalo, đã tham dự một buổi hòa nhạc tại MSG vào tháng 9 năm 2025 và cáo buộc dữ liệu sinh trắc học của anh ấy đã bị hệ thống ra vào của địa điểm ghi lại. Vụ kiện yêu cầu bồi thường thiệt hại ban đầu ít nhất là 5 triệu USD.
Đơn khiếu nại cáo buộc MSG đã sơ suất trong việc không bảo mật dữ liệu mà họ tích cực thu thập, bất chấp những cảnh báo rõ ràng từ những người ủng hộ quyền riêng tư và một vi phạm trước đó.
Đây là vụ vi phạm lớn thứ hai của MSG trong vòng chưa đầy một năm. Trong một sự cố riêng biệt được tiết lộ vào tháng 2 năm 2026, nhóm ransomware Cl0p đã khai thác lỗ hổng trong ứng dụng Oracle eBusiness Suite do nhà cung cấp lưu trữ được MSG sử dụng để trả lương và nhân sự. Cuộc xâm nhập đó bắt đầu vào tháng 8 năm 2025 nhưng không bị phát hiện cho đến ngày 16 tháng 12 năm 2025 và làm lộ tên, địa chỉ cũng như số An sinh xã hội của khoảng 131.070 cá nhân, chủ yếu là nhân viên và nhà thầu.
ShinyHunters đã thực hiện một chiến dịch kéo dài vào năm 2026, khai thác lỗ hổng zero-day chưa được vá của Oracle PeopleSoft để tấn công hơn 100 tổ chức, 2/3 trong số đó là các trường đại học. Nhóm này trước đây đã dàn dựng các cuộc tấn công chuỗi cung ứng Snowflake năm 2024 nhằm xâm phạm Ticketmaster và AT&T, đồng thời vào tháng 3 năm 2026 đã vi phạm Ủy ban Châu Âu, làm rò rỉ 350 gigabyte dữ liệu từ 42 khách hàng nội bộ.
Cuộc tấn công MSG diễn ra theo cùng một playbook ShinyHunters được sử dụng để chống lại hệ thống quản lý học tập Canvas của Instructure vào tháng 4, nơi nhóm này đã yêu cầu 3,65 terabyte dữ liệu từ 275 triệu người dùng trên 9.000 trường học. Mẫu này nhất quán: xác định mục tiêu có khối lượng lớn dữ liệu nhạy cảm, lọc dữ liệu đó, đặt thời hạn đòi tiền chuộc và xuất bản khi hết thời hạn.
MSG Entertainment chưa công khai xác nhận phạm vi vi phạm hoặc bình luận về vụ kiện tập thể. Chương trình nhận dạng khuôn mặt của công ty đã phải đối mặt với sự giám sát kỹ lưỡng ít nhất kể từ năm 2022, khi nó thu hút sự chú ý vì sử dụng công nghệ này để cấm luật sư từ các công ty liên quan đến vụ kiện chống lại công ty. Tổng chưởng lý New York đã điều tra và tòa án tiểu bang ban đầu phán quyết chính sách này vi phạm luật chống phân biệt đối xử, mặc dù tòa phúc thẩm sau đó đã đảo ngược quyết định đó.
Vụ vi phạm đặt ra một câu hỏi vượt ra ngoài MSG: các tổ chức đầu tư mạnh vào công nghệ giám sát để theo dõi khách truy cập của họ đang tạo ra chính xác loại kho dữ liệu có giá trị cao mà các nhóm như ShinyHunters nhắm tới. Con số 26 triệu được tin tặc trích dẫn vẫn chưa được xác minh độc lập và toàn bộ phạm vi dữ liệu sinh trắc học bị lộ vẫn chưa rõ ràng khi cuộc điều tra tiếp tục.
Nguồn The Next Web